【活用ガイド】

CWE-200

Weakness ID:200(Weakness Class)

Status: Incomplete

情報漏えい

解説

解説要約

情報の漏えいとは、当該情報にアクセスするための認可を明示的に受けていない者に対して、情報が意図的にあるいは意図せずに開示されることです。

詳細な解説

情報とは、以下のいずれかを指します。
1) 内部メッセージなど、製品自体の機能の中で慎重に扱われる情報
2) 攻撃者にとって有益だが通常は入手可能でない、製品や環境に関する情報 (リモートでアクセス可能な製品インストールパスなど)

情報の漏えいの多くは、他の脆弱性と関連した結果として発生しますが (例:PHP スクリプトエラーにおけるパスの漏えい) 、単独で発生する可能性もあります (例:暗号処理におけるタイミングの不一致) 。情報の漏えいを招く脆弱性は多種多様です。これらの脆弱性の影響度は、漏えいした情報の種類に依存します。

別名

Information Disclosure(情報公開):

この用語は脆弱性データベースやその他の情報源において使用されますが、"disclosure(公開)" という言葉が常にセキュリティに関する意味を含むわけではありません。また、政策や法関連の文書においてもよく使用されていますが、セキュリティに関連する情報の公開については言及されていません。

Information Leak(情報漏えい):

"leak" という言葉がよく使用されますが、セキュリティにおいては複数の意味を持ちます。一方で情報がさらされることを指す反面、"memory leak(メモリリーク)" のように枯渇につながるようなリソースの不正な追跡を指す場合もあります。そのため、CWE では "leak" の使用を避けています。

脆弱性の発生時期

アーキテクチャおよび設計
実装

該当するプラットフォーム

言語

全て

攻撃を受ける可能性

高い

被害の緩和策

信頼できる境界で明確に区切られる「安全な」区域を確保するため、システムを区分けして下さい。機密情報が信頼できる境界の外部に出て行くことを許可せず、安全領域の外部の区画にインターフェースで結合する場合は注意して下さい。

発生における他の脆弱性との依存関係

 

依存関係 詳細
依存的 他の脆弱性が存在することにより発生

 

関係性

 

Nature Type ID Name View(s) this relationship pertains to
ChildOf Category 199 Information Management Errors Development Concepts (primary)699
ChildOf Weakness Class 668 Exposure of Resource to Wrong Sphere Research Concepts (primary)1000
ChildOf Category 717 OWASP Top Ten 2007 Category A6 - Information Leakage and Improper Error Handling Weaknesses in OWASP Top Ten (2007) (primary)629
ParentOf Weakness Variant 201 Information Exposure Through Sent Data Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 202 Privacy Leak through Data Queries Development Concepts (primary)699
ParentOf Weakness Class 203 Information Exposure Through Discrepancy Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Base 209 Information Exposure Through an Error Message Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Base 212 Improper Cross-boundary Removal of Sensitive Data Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Base 213 Intended Information Leak Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 214 Process Environment Information Leak Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 215 Information Exposure Through Debug Information Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Base 226 Sensitive Information Uncleared Before Release Development Concepts (primary)699
Research Concepts1000
ParentOf Weakness Class 359 Privacy Violation Research Concepts (primary)1000
ParentOf Weakness Variant 497 Exposure of System Data to an Unauthorized Control Sphere Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 524 Information Leak Through Caching Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 526 Information Leak Through Environmental Variables Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Base 538 File and Directory Information Exposure Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 598 Information Leak Through Query Strings in GET Request Development Concepts (primary)699
Research Concepts (primary)1000
ParentOf Weakness Variant 612 Information Leak Through Indexing of Private Data Development Concepts (primary)699
Research Concepts (primary)1000
MemberOf View 635 Weaknesses Used by NVD Weaknesses Used by NVD (primary)635
CanFollow Weakness Variant 498 Information Leak through Class Cloning Development Concepts699
Research Concepts1000
CanFollow Weakness Variant 499 Serializable Class Containing Sensitive Data Development Concepts699
Research Concepts1000

 

他組織での分類

 

組織名または組織での分類 ノード ID CWEの分類との適合度 分類名
PLOVER Information Leak (information disclosure)
OWASP Top Ten 2007 A6 CWE の方が詳細 Information Leakage and Improper Error Handling
WASC 13 Information Leakage

 

関連する攻撃パターン

 

CAPEC-ID 攻撃パターン名 (CAPEC Version 1.5)
13 Subverting Environment Variable Values
22 Exploiting Trust in Client (aka Make the Client Invisible)
59 Session Credential Falsification through Prediction
60 Reusing Session IDs (aka Session Replay)
79 Using Slashes in Alternate Encoding
281 Analytic Attacks

 

更新履歴

[2011年04月21日]
  2010年10月12日時点のデータを元に更新
[2009年06月29日]
  2009年02月02日時点の下記 URL を元に作成
    http://cwe.mitre.org/data/definitions/200.html


登録日 2011/04/21

最終更新日 2011/04/21