Japan Vulnerability Notes / 脆弱性レポートの読み方

公開日：YYYY/MM/DD

脆弱性情報を JVN において公開した日付 (日本時間) です。同じ脆弱性について、ベンダ (製品開発者) や US-CERT、CERT/CC、CPNI などから情報が公開されていても、公開日は一致しないことがあります。必要に応じてベンダ情報などを確認してください。

最終更新日：YYYY/MM/DD

最後に脆弱性情報に関する更新を行った日付 (日本時間) です。それまでの更新については更新履歴に記載しています。

脆弱性識別番号は、脆弱性情報を特定するために割り振られる一意な番号です。運用開始当初、JVN では、脆弱性情報の提供元の番号体系に基づいて 6種類の番号体系を使用していました。これを 2012年12月3日に再編し、よりシンプルな番号体系に変更しました。この新しい番号体系では「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表された脆弱性情報には JVN# で始まる 8桁の番号 (例：JVN#12345678)、それ以外の海外調整機関や海外製品開発者との連携案件などには JVNVU# で始まる 8桁の番号 (例：JVNVU#12345678)、調整有無に関わらず必要に応じて JPCERT/CC が発行する注意喚起には、JVNTA# から始まる 8桁の番号 (例：JVNTA#12345678) を割り当てています。新番号と旧番号との対照関係については、次の表をご参照ください。

新旧脆弱性識別番号対照表
新番号体系	旧番号体系	説明
JVN#12345678	JVN#12345678	「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情報
JVNVU#12345678	JVNVU#123456	CERT/CC (米) 主導で調整・公表した脆弱性情報
	JVNCA-1234-56	CERT/CC (米) 主導で調整・公表した旧形式の脆弱性情報
	NISCC-123456	NISCC (現CPNI：英) 主導で調整・公表した脆弱性情報
	CPNI-123456	CPNI (英) 主導で調整・公表した脆弱性情報
	(該当無し)	上記以外の主に海外の発見者、開発者、調整機関などから連絡を受け、JPCERT/CC が調整・公表した脆弱性情報
JVNTA#12345678	JVNTA12-345A	US-CERTが公表した注意喚起情報
JVNTA#12345678	(該当無し)	調整有無に関わらず、必要に応じて JPCERT/CC が公表する注意喚起情報

緊急

通常の脆弱性レポートとは異なり、製品利用者が当該脆弱性の対策を導入する優先順位を決めるにあたって重要な判断要素となる補足情報 (当該脆弱性を使った攻撃がすでに観測されているなど) を掲載している場合はトップページの新着リストおよび脆弱性レポートの両方に「緊急」と表示します。「緊急」が表示された製品をご利用の場合には、その脆弱性情報について早急にご確認の上、対策導入のタイミングについてご検討いただく事を推奨します。

なお、この表示はあくまでも目安であることに留意してください。影響を受けるシステム (製品) が実際に攻撃されたときの脅威 (深刻度) は、システム (製品) のおかれている環境やそれが担うビジネス上の重要度などにより変化します。緊急に対策を講じる必要があるかどうかの判断は、脆弱性レポートの詳細を理解した上で、各組織において個別に判断することが重要です。

概要

脆弱性の概要を記述します。この情報の続きを読むべきかどうかの判断ポイントとしてご利用いただくことを想定した、いわゆるエグゼクティブサマリです。

影響を受けるシステム

影響を受けるシステムや製品、ライブラリなどの名称やそのバージョン番号などを列挙します。

詳細情報

この脆弱性に関する詳細な情報を記述する項目です。

想定される影響

脆弱性が悪用された場合、影響を受ける製品のユーザに対してどのような被害が想定されるかを記述します。

対策方法

脆弱性への対策方法を記載します。

対策情報には「解決策」と「回避策」があります。
「解決策」は、ベンダ (製品開発者) が公開するパッチを適用したりアップデート版を使用したりすることで、脆弱性自体を解決するものです。
「回避策」は、脆弱性自体を解決するものではありませんが、脆弱性が悪用された場合の影響を緩和する手段として有効と考えられるものです。回避策はワークアラウンドとも呼ばれます。

ベンダ情報

1. ベンダ情報とは

脆弱性情報に対するベンダ (製品開発者) の公開情報を記述する項目です。

「情報セキュリティ早期警戒パートナーシップ」に参加しているベンダ (製品開発者)から提供された情報は、次のように掲載されます。

ベンダ	ステータス	ステータス最終更新日	ベンダの告知ページ
XXX株式会社	該当製品あり	2000/01/01	XXX株式会社の告知ページ

次のような形式で、当該脆弱性に関するベンダの公開情報へのリンクを掲載する場合もあります。

ベンダ	リンク
XXX株式会社	YYYY の脆弱性に対するアップデート

2. ステータス

ベンダ情報の「ステータス」の表現には、次の 5種類が存在します

ステータスの種類	内容
該当製品あり	製品開発者による調査の結果、脆弱性該当製品がある
該当製品あり（調査中）	製品開発者による調査の結果、脆弱性情報公表時点で脆弱性該当製品があり、継続して調査を行っている
該当製品なし	製品開発者による調査の結果、脆弱性該当製品がない
該当製品なし（調査中）	製品開発者による調査の結果、公表時点で脆弱性該当製品は見つかっていないが、継続して調査を行っている
脆弱性情報提供済み	調整機関から脆弱性情報の提供をしている

「ステータス」欄の文字列は、ベンダから提供された情報の専用ページへリンクされています。

3. ベンダの告知ページ

「ベンダの告知ページ」欄には、当該脆弱性に関してベンダの自社サイトで公開しているアドバイザリ等がある場合に、そのページへのリンクを掲載しています。

参考情報

他 CSIRT 組織やセキュリティベンダ等が公開する文書へのリンクを記載します。

JPCERT/CCからの補足情報

JPCERT/CC がハンドリングの過程で把握している付加的情報を記載します。

JPCERT/CCによる脆弱性分析結果

1. 「JPCERT/CCによる脆弱性分析結果」とは

JPCERT/CC による脆弱性分析結果をもとに、脆弱性の脅威を判断するための情報を公開しています。
JVN では、CVSS v3 および CVSS v2 の Base Score を用いて脆弱性を評価しています。

Javascript が有効な場合、それぞれの表は折りたたまれています。表を見るには、各評価をクリックしてください。

CVSS v2 については共通脆弱性評価システムCVSS概説を、CVSS v3 については共通脆弱性評価システムCVSS v3概説をご参考下さい。

2. 表示例

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

基本値: 10.0

攻撃元区分(AV)	物理 (P)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	低 (L)
必要な特権レベル(PR)	高 (H)	低 (L)	不要 (N)
ユーザ関与レベル(UI)	要 (R)	不要 (N)
スコープ(S)	変更なし (U)	変更あり (C)
機密性への影響(C)	なし (N)	低 (L)	高 (H)
完全性への影響(I)	なし (N)	低 (L)	高 (H)
可用性への影響(A)	なし (N)	低 (L)	高 (H)

CVSS v2 AV:N/AC:H/Au:N/C:P/I:N/A:N

基本値: 2.6

攻撃元区分(AV)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	中 (M)	低 (L)
攻撃前の認証要否(Au)	複数 (M)	単一 (S)	不要 (N)
機密性への影響(C)	なし (N)	部分的 (P)	全面的 (C)
完全性への影響(I)	なし (N)	部分的 (P)	全面的 (C)
可用性への影響(A)	なし (N)	部分的 (P)	全面的 (C)

分析結果のコメント

分析結果のコメントがある場合、ここに記載されます。

旧 "JPCERT/CC による分析結果" の表示例

YYYY.MM.DDにおける脆弱性分析結果

評価尺度	攻撃成立条件	評価値
攻撃経路	IP などネットワークレイヤの通信を経由して攻撃可能	高
認証レベル	匿名もしくは認証なしで攻撃が可能	高
攻撃成立に必要なユーザーの関与	リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される	中
攻撃の難易度	かなり高度な専門知識や運 (条件が揃う確率は低い) が必要	低

各項目の詳しい説明

評価尺度には、「攻撃経路」「認証レベル」「攻撃成立に必要なユーザーの関与」「攻撃の難易度」の 4つの尺度があります。各評価尺度における「攻撃成立の条件」と「評価値」の対応は次の通りです。

「攻撃経路」

ネットワーク越しに離れた場所からの攻撃が可能かどうかを示す。

攻撃成立条件	評価値
IP などネットワークレイヤの通信を経由して攻撃可能	高
Ethernet などローカルセグメント内 (Bluetooth や 802.11 なども含む) からの攻撃が可能	中－高
シェルからのシステムログインやリモートデスクトップなどから攻撃が可能	低－中
システムに触れたり、物理的なコンソールからログインする必要あり	低

「認証レベル」

攻撃の前提条件として必要な認証のレベルを示す。

攻撃成立条件	評価値
匿名もしくは認証なしで攻撃が可能	高
攻撃者が自らアカウントを取得することで攻撃が可能	中－高
システムに正規登録されている一般ユーザのアカウントが必要	低－中
特権レベルの権限でログインすることが必要	低

「攻撃成立に必要なユーザの関与」

攻撃を受けたユーザによる特別な操作がないと攻撃が完遂しないかどうか、および特別さの程度 (積極的な関与または消極的な関与など) を示す。

攻撃成立条件	評価値
ユーザが何もしなくても脆弱性が攻撃される可能性がある	高
リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される	中
設定の変更など、積極的なユーザ動作が必要	低

「攻撃の難易度」

攻撃に必要な攻撃者自身の技術的スキル水準を示す。

攻撃成立条件	評価値
専門知識や運がなくとも攻撃可能	高
ある程度の専門知識や運 (条件が揃う確率は高い) が必要	中－高
専門知識や運 (条件が揃う確率は中程度) が必要	低－中
かなり高度な専門知識や運 (条件が揃う確率は低い) が必要	低

非決定的 (non-deterministic) 要因 (例：OS 等による実行時のメモリ割当や並列処理におけるプロセス実行順序の影響等によって脆弱性に対する攻撃が成功したりしなかったりする場合があり、JVN ではこれを「運」という言葉で表現しています。

謝辞

脆弱性を発見した個人または組織の名前を掲載する項目です。この項目は、発見者が脆弱性届出様式の「対策情報公表時の謝辞への届出者名の記載について」において、JVN で「記載しても良い」を選択した場合に掲載されます。

更新履歴

脆弱性情報を更新した日付 (日本時間) と更新内容を列挙します。

注意事項

2007年4月のリニューアルにより、詳細情報、対策方法、JPCERT/CCからの補足情報、JPCERT/CCによる脆弱性分析結果の項目を追加しました。2007年4月25日より前に公開していた脆弱性レポートについては、これらの項目が空欄になっている場合があります。

お問い合わせはこちら

脆弱性レポートの読み方