種類
開発や販売しているベンダーが公開しているもの
信頼性は高い。パッケージの開発元になるので基本的にはマイターよりは若干早いかもしれません。
公的機関によって運営されているもの
信頼性は高い。
IPA
コンピュータウイルス・不正アクセス・脆弱性などの被害の届出や管理なども行なっています。セキュリティ関連の技術調査、開発なども行なっています。
NIST(アメリカ国立標準技術研究所)
NVDというサイトを運営しており、マイターのスポンサーになります。
セキュリティ企業や団体が公開しているもの
米マイター社
- サイバーセキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織
- 後述するCVE番号の採番を行なっています。
JPCERT/CC
日本国内のセキュリティ関連の一般社団法人です。再発防止や助言などを技術的な視点で行なっています。
ハッカーや有志によって収集・公開されているもの
代表的な脆弱性データベース
NVD
アメリカのNISTが管理している脆弱性データベースです。(NIST自体はマイター社のスポンサーです。)
JVN
IPAによって運営されているサイト
JVN iPedia
JVNに掲載された脆弱性情報のデータベース
評価指標
CVE
情報セキュリティにおける脆弱性やインシデントに固有の番号をつけて共有する仕組みです。アメリカの非営利団体のMITER(マイター)が管理しています。
1 |
CVE-{報告または確定した西暦}-{連番} |
CVE(確定した脆弱性)以外にもCAN(脆弱性の可能性)段階で採番されたりします。
CVSS
脆弱性の危険度を測る指標です。0〜10点の間で点数化されて点数が高いほど危険な脆弱性になります。
エクスプロイト
脆弱性に対する攻撃手法のことです。以下の二択です。
- 自分で考える
- 攻撃手法を公開しているサイトから探す。
自分で考える
脆弱性の仕組みを理解した上で、どのような攻撃が有効か考える。その攻撃を成功させるためのプログラムを作成する。metasploitも使える。
公開しているサイト
Security Focus
Symantecにより運営されています。
Exploit Database
エクスプロイトを集めて情報サイトです。
RAPID7 Vulunerability & Exploit Database
エクスプロイトに利用されるmetasploitモジュールや、脆弱性の両方を検索できます。
この記事へのコメントはありません。