CWE-200
Weakness ID:200(Weakness Class)
Status: Incomplete
情報漏えい
解説
解説要約
情報の漏えいとは、当該情報にアクセスするための認可を明示的に受けていない者に対して、情報が意図的にあるいは意図せずに開示されることです。
詳細な解説
情報とは、以下のいずれかを指します。
1) 内部メッセージなど、製品自体の機能の中で慎重に扱われる情報
2) 攻撃者にとって有益だが通常は入手可能でない、製品や環境に関する情報 (リモートでアクセス可能な製品インストールパスなど)
情報の漏えいの多くは、他の脆弱性と関連した結果として発生しますが (例:PHP スクリプトエラーにおけるパスの漏えい) 、単独で発生する可能性もあります (例:暗号処理におけるタイミングの不一致) 。情報の漏えいを招く脆弱性は多種多様です。これらの脆弱性の影響度は、漏えいした情報の種類に依存します。
別名
Information Disclosure(情報公開):
この用語は脆弱性データベースやその他の情報源において使用されますが、"disclosure(公開)" という言葉が常にセキュリティに関する意味を含むわけではありません。また、政策や法関連の文書においてもよく使用されていますが、セキュリティに関連する情報の公開については言及されていません。
Information Leak(情報漏えい):
"leak" という言葉がよく使用されますが、セキュリティにおいては複数の意味を持ちます。一方で情報がさらされることを指す反面、"memory leak(メモリリーク)" のように枯渇につながるようなリソースの不正な追跡を指す場合もあります。そのため、CWE では "leak" の使用を避けています。
脆弱性の発生時期
アーキテクチャおよび設計
実装
該当するプラットフォーム
言語
全て
攻撃を受ける可能性
高い
被害の緩和策
信頼できる境界で明確に区切られる「安全な」区域を確保するため、システムを区分けして下さい。機密情報が信頼できる境界の外部に出て行くことを許可せず、安全領域の外部の区画にインターフェースで結合する場合は注意して下さい。
発生における他の脆弱性との依存関係
| 依存関係 | 詳細 |
|---|---|
| 依存的 | 他の脆弱性が存在することにより発生 |
関係性
| Nature | Type | ID | Name | View(s) this relationship pertains to |
|---|---|---|---|---|
| ChildOf | Category | 199 | Information Management Errors | Development Concepts (primary)699 |
| ChildOf | Weakness Class | 668 | Exposure of Resource to Wrong Sphere | Research Concepts (primary)1000 |
| ChildOf | Category | 717 | OWASP Top Ten 2007 Category A6 - Information Leakage and Improper Error Handling | Weaknesses in OWASP Top Ten (2007) (primary)629 |
| ParentOf | Weakness Variant | 201 | Information Exposure Through Sent Data | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 202 | Privacy Leak through Data Queries | Development Concepts (primary)699 |
| ParentOf | Weakness Class | 203 | Information Exposure Through Discrepancy | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Base | 209 | Information Exposure Through an Error Message | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Base | 212 | Improper Cross-boundary Removal of Sensitive Data | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Base | 213 | Intended Information Leak | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 214 | Process Environment Information Leak | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 215 | Information Exposure Through Debug Information | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Base | 226 | Sensitive Information Uncleared Before Release | Development Concepts (primary)699 |
| Research Concepts1000 | ||||
| ParentOf | Weakness Class | 359 | Privacy Violation | Research Concepts (primary)1000 |
| ParentOf | Weakness Variant | 497 | Exposure of System Data to an Unauthorized Control Sphere | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 524 | Information Leak Through Caching | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 526 | Information Leak Through Environmental Variables | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Base | 538 | File and Directory Information Exposure | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 598 | Information Leak Through Query Strings in GET Request | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| ParentOf | Weakness Variant | 612 | Information Leak Through Indexing of Private Data | Development Concepts (primary)699 |
| Research Concepts (primary)1000 | ||||
| MemberOf | View | 635 | Weaknesses Used by NVD | Weaknesses Used by NVD (primary)635 |
| CanFollow | Weakness Variant | 498 | Information Leak through Class Cloning | Development Concepts699 |
| Research Concepts1000 | ||||
| CanFollow | Weakness Variant | 499 | Serializable Class Containing Sensitive Data | Development Concepts699 |
| Research Concepts1000 |
他組織での分類
| 組織名または組織での分類 | ノード ID | CWEの分類との適合度 | 分類名 |
|---|---|---|---|
| PLOVER | Information Leak (information disclosure) | ||
| OWASP Top Ten 2007 | A6 | CWE の方が詳細 | Information Leakage and Improper Error Handling |
| WASC | 13 | Information Leakage |
関連する攻撃パターン
| CAPEC-ID | 攻撃パターン名 (CAPEC Version 1.5) |
|---|---|
| 13 | Subverting Environment Variable Values |
| 22 | Exploiting Trust in Client (aka Make the Client Invisible) |
| 59 | Session Credential Falsification through Prediction |
| 60 | Reusing Session IDs (aka Session Replay) |
| 79 | Using Slashes in Alternate Encoding |
| 281 | Analytic Attacks |
更新履歴
[2011年04月21日]
2010年10月12日時点のデータを元に更新
[2009年06月29日]
2009年02月02日時点の下記 URL を元に作成
http://cwe.mitre.org/data/definitions/200.html
登録日 2011/04/21
最終更新日 2023/04/04
