CSIRTメモ　2007年

日経BP社、Itproにて連載されたHIRT執筆によるCSIRT担当者向けの脆弱性対策情報から得られた知見、脆弱性対策に関するアドバイス等の記事です。

11月14日、マイクソフト11月のセキュリティ・アップデートが公開されました。このアップデートで対策された「Windows URI処理の脆弱性により、リモートでコードが実行される（MS07-061）」のぜい弱性対策活動の経過をITproの記事で振り返ってみましょう。

10 月のセキュリティ・アップデートの追加情報として、Adobe ReaderとAcrobatセキュリティ・アップデートとJREセキュリティ・アップデートについて、公開したセキュリティ・アドバイザリを対象に CVSSの評価値、検証情報とインシデントを一覧します。

脆弱性の公開に伴い、その脆弱性を確認するための検証情報の公開や脆弱性を悪用したインデントが発生することがあります。脆弱性対策を推進する場合、脆弱性だけではなく、付随した情報をまとめて見たいと思うことがあります。そこで10月分の総ざらいとして、マイクロソフト、シスコ、オラクルなどが公開したセキュリティ・アドバイザリを対象に、CVSSの評価値、検証情報とインシデントとを一覧してみましょう。

米国政府のぜい弱性対策に関する取り組みとして、連邦情報セキュリティマネジメント法（FISMA）とISAP（第1回）、ISAPを支える技術仕様「SCAP」（第2回）について解説してきました。今回は、ぜい弱性識別子を規定するCVE（Common Vulnerabilities and Exposures）について紹介しましょう。

今回は「米国のぜい弱性対策に関する取り組み」の第2回です。第1回は連邦情報セキュリティマネジメント法と、情報セキュリティにかかわる技術面での自動化と標準化を目指した取り組みであるISAPについて紹介しました。第2回はISAP実現のための技術仕様であるSCAPについて紹介します。

2007年8月に、一太郎、Lhazなどのぜい弱性情報が話題になりました。それぞれ、ぜい弱性に関わるインシデント事例として、関連するイベントの時間的な流れを追いかけておきましょう。

米国ではFISMAという連邦情報セキュリティマネジメント法の制定に合わせて、ぜい弱性対策の分野でいろいろ新たな試みを進めています。ぜい弱性対策を推進するCSIRTにとって、ぜい弱性対策の新しい技術的な取り組みを調査することは重要な活動の一つです。そこで今回から数回にわたって、米国政府が推進しているISAPについて紹介したいと思います。

7月には、マイクロソフトやシスコ、オラクルなどがセキュリティ・アドバイザリを公開したほか、アドビシステムズのFlashPlayerなどいくつかのアプリケーションにぜい弱性が見つかりました。ここで総ざらいしておきましょう。

2007年6月5日、CERT/CCから「Incident Management Capability Metrics」という文書が発行されました。題名を直訳すると、「インシデント管理能力評価基準」となります。

JVNに掲載された2007年06月分のクロスサイト・スクリプティング問題は9件です。

前回のCSIRTメモで紹介したぜい弱性の深刻度の指標「CVSS」（Common Vulnerability Scoring System）のバージョン 2.0が登場しました。6月にスペインで開催されたFIRSTカンファレンスに合わせて公開されました。

IPv6 Protocol Type 0 Route Header のぜい弱性は、Type 0を設定した経路制御ヘッダーを悪用することにより、二つのIPv6ノード間に大量のトラフィックを発生させることができるサービス妨害(DoS: Denial of Service)に関わるぜい弱性です。このぜい弱性については、いろいろ動きがありましたので、ぜい弱性に関連するイベントの時間的な流れを見ておきましょう。

定期的な脆弱性対策に向けて、いくつかのベンダーがセキュリティ・アップデートという形で最新の情報をほぼ定期的に公開しています。2007年4月は、三つの代表的なセキュリティ・アップデートがありました。

マイクロソフトから公開された「Windowsアニメーション・カーソル処理の脆弱性について」に関連して、3月末から4月上旬までの間、インターネット全体の深刻度を示す各所のレベル値が一段階上がりました。