McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

Corporate] 2016年6月15日 更新

第27回:今だから学ぶ! セキュリティの頻出用語:CVEとは?

 

「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第27回は、「CVE」についてです。

セキュリティインシデントが発生して、脆弱性情報のWebサイトで必ず目にするのが「CVE」という単語です。CVEとは、Common Vulnerabilities and Exposures(共通脆弱性識別子)の略称です。

CVEは、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベースです。CVEでは脆弱性にユニークな識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)です。MITREでは、CVE-IDをCVE識別番号管理サイト(http://cve.mitre.org(英語)) で公開しています。インテル セキュリティをはじめとしてさまざまな企業や団体が共通して利用できる識別番号としてCVEを利用しています。

では、CVEが具体的な例を使って、どのように構成されているかを見ていきましょう。

2014年に大きな話題となったOpenSSLオープンソースの暗号ソフトウェアライブラリ上で発見された脆弱性「Heartbleed」は、2014年4月7日にCVE-2014-0160として発表されました。つまり、CVE-ID の構成から、2014年に0160番として登録されたことがわかります。

CVE-2014-0160

https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-0160(英語)) ページにアクセスすると、「脆弱性の概要 (Description)」「参考URL (References)」「ステータス (Status)」の項目に分かれて記載されていることが分かります。

01img

各項目の概要は次のようになります。

項目名

説明

例:Heartbleedの場合

CVE-ID

脆弱性のID

CVE-2014-0160

Description

概要

The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.

References

参考

BUGTRAQ:20141205 NEW: VMSA-2014-0012 - VMware vSphere product updates address security vulnerabilitiesなど

Date Entry Created

CVE-IDが付与された日時

20131203

Phase(Legacy)

現在未使用

Assigned (20140909)

Assigned(Legacy)

現在未使用

 −

Votes(Legacy)

現在未使用

 −

Comments(Legacy)

現在未使用

 −

Proposed(Legacy)

現在未使用

 −

さらに、詳しい情報を確認するには、CVE-IDの右隣にある「Learn more at National Vulnerability Database (NVD)」のリンクをクリックして、NVD(National Vulnerability Database)のWebサイトに移動します。NVDは、アメリカ国立標準技術研究所(NIST)が管理している脆弱性情報のデータベースです。

02img

ここで重要になるのが、この脆弱性に対するインパクト(Imp act)です。このインパクトの計算方法は、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)という評価手法を使っています。CVSSについては、IPAの共通脆弱性評価システムCVSS概説を参照してください。

このCVE-IDに関連した対応策については、おのおののサイトで確認します。インテル セキュリティでは、「マカフィーセキュリティ情報 – OpenSSL Heartbleed 脆弱性の影響を受ける マカフィー製品」として、以下のページで対策を公開しています。

https://kc.mcafee.com/corporate/index?page=content&id=SB10071&viewlocale=ja_JP

03img

このように、CVE-ID がユニークな番号として、登録されることにより、概要、インパクト、影響するソフトウェア、対応策を紐付けて確認することができることが分かります。

興味のある方は、気になった脆弱性があれば、CVE-IDを見つけて、各サイトを閲覧することはいかがでしょうか?


【参考情報】

【関連記事】 
今だから学ぶ! セキュリティの頻出用語シリーズ 過去10記事 
第26回:今だから学ぶ! セキュリティの頻出用語:ペネトレーションテストとは? 
第25回:今だから学ぶ! セキュリティの頻出用語:レピュテーションとは? 
第24回:今だから学ぶ! セキュリティの頻出用語 : 辞書攻撃とは? 
第23回:今だから学ぶ! セキュリティの頻出用語 : ワームとは? 
第22回:今だから学ぶ! セキュリティの頻出用語 : マクロウイルスとは? 
第21回:今だから学ぶ! セキュリティの頻出用語 : 多要素認証とは? 
第20回:今だから学ぶ! セキュリティの頻出用語 :【特別編】アクセストップ5は? 
第19回:今だから学ぶ! セキュリティの頻出用語 : キーロガー 
第18回:今だから学ぶ! セキュリティの頻出用語 : トロイの木馬 
第17回:今だから学ぶ! セキュリティの頻出用語 : ドライブバイダウンロード とは?

「今だから学ぶ! セキュリティの頻出用語」アーカイブ 第1回~第19回

2017 MPOWER : Tokyo開催
必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.