- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:MSの"脆弱性"情報にある「一般公開」について)
マイクロソフトのセキュリティ情報における「一般公開」とは?
このQ&Aのポイント
- マイクロソフトのセキュリティ情報には、脆弱性の情報が公開されています。しかし、一部の情報には「一般公開がない」という記載があります。
- 「一般公開がない」とは、脆弱性を悪用する攻撃手法が一般公開されていないことを意味します。つまり、攻撃者がその脆弱性を悪用するための情報が一般に知られていないということです。
- 今回の例で挙げた「Kerberos のセキュリティ機能のバイパスの脆弱性 – CVE-2016-3237」のセキュリティ情報は一般公開されておらず、攻撃者が脆弱性を悪用する手法が一般に知られていないため、「一般公開がなし」となっています。
noname#242248
- Windows系OS
- 回答数3
- ありがとう数8
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
これを読んで見てください。 きっと満足されると思います http://sophos-insight.jp/blog/20161117
その他の回答 (2)
- trapezium
- ベストアンサー率62% (276/442)
回答No.2
パッチリリース前に公開されてると、いわゆる zero-day attack の危険ありですね。
質問者
お礼
ありがとうございます。 脆弱性情報を一般に公開する以前に脆弱性があることを事前に突き止めていて、攻撃手法が分かっていれば、0デイ攻撃の危険性はあるのではないでしょうか。 MS16-037 の共通脆弱性識別子「CVE-2016-0162」は「一般公開」が「あり」で「悪用」が「なし」になっています。 MS16-105 の共通脆弱性識別子「CVE-2016-3291」は「一般公開」が「なし」ですが、「悪用」は「あり」になっています。
- Viartril-S
- ベストアンサー率32% (63/193)
回答No.1
MSに脆弱性情報を持ちかける人が、常に善意とは限りません。高額を提示し、MSが応じなければ、もっと高価に情報を売るために、地下サイトなどで競売したりします。 公開なしとは、上記のような状態ではなく、悪用方法の公開が見られない状態を意味すると考えて良いと思います。
質問者
お礼
ありがとうございます。 「一般公開」が「なし」とは、金銭目的で脆弱性を販売しているサイトをMSが調査したが見当たらなかったということでしょうか。 MSが調査によって金銭目的で脆弱性を販売しているサイトが見つかったら、「一般公開」が「あり」ということになるのでしょうか。
お礼
ありがとうございます。 この記事を見て一応、理解することができました。 脆弱性がベンダーによって修正される前、一切の脆弱性情報を公開しないのは理解できるのですが、修正されたパッチが出ても具体的な攻撃手法がIPAのJVN、NISTのNVD記載されていないのがなぜなのかなと思っています。 Microsoftの情報で「攻撃者によって脆弱性を利用しての特権の昇格があります」くらいで、IPAのJVN、NISTのNVDの情報も似たようなものです。 脆弱性対策情報データベースJVN http://jvndb.jvn.jp/index.html National Vulnerability Database https://nvd.nist.gov/ パッチリリース後にIPAのJVN、NISTのNVDに脆弱性の情報が公開されいているので、「一般公開」を「パッチリリース前の一般公開」という項目名に変えてもらいたいと思っています。 マイクロソフトの脆弱性ではないですが、「CVE-2014-0160 OpenSSL Heartbleed」のように脆弱性情報が先に公開された後、SSL-VPNアプライアンス等ベンダーが脆弱性が修正されたファームウェアを作ってを公開するということもあるので、パッチリリース前に公表するのか、パッチがリリースされた後に公開するほうがいいのかというのは難しい問題ですね。 パッチリリース前に公表すれば、修正がリリースまでその製品を使用しないとか脆弱性があると分かった上で使用するといった判断もできます。 パッチがリリースされた後に公開された場合、それまでその脆弱性を知らない状態ですから、脆弱性によって攻撃を受けて情報漏えいが起きてしまっていたということも考えられます。