■脆弱性対策情報データベース(詳細ページ)の読み方
JVNDB-XXXX-XXXXXX (脆弱性対策情報データベース登録番号)
「脆弱性のタイトル」
脆弱性対策情報データベース登録番号は、脆弱性対策情報データベース(JVN iPedia)に登録されている脆弱性固有の番号です。例えば「JVNDB-2007-001234」のような番号が脆弱性単位に割り振られます。4 ケタ表記"2007"は、割り振られた脆弱性情報が発見された西暦年を、6ケタ表記"001234"は、年毎の通し番号を表します。
「脆弱性のタイトル」は、どのシステム(製品)にどのような脆弱性が存在するかを示します。
概要
脆弱性の固有の概要を1, 2行で記述します。正確かつ詳細な情報が必要な場合は、ベンダ情報または参考情報を参照下さい。2007年より前の脆弱性対策情報など、本データベース公開前(2007年4月25日)に蓄積された一部内容については記述ルールが異なり、脆弱性の固有の概要ではなく関連する複数の脆弱性の概要が記述されている場合があります。
CVSSによる深刻度
1.「CVSS」とは?
脆弱性対策情報データベースでは、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を用いて、評価結果およびCVSS基本値の評価内容を記載し、脆弱性の固有の深刻度を表しています。なお、CVSSには、FIRSTから2007年6月20日に公開された共通脆弱性評価システムCVSSv2、2015年6月10日に公開されたCVSSv3が存在し、JVNiPediaでは2015年12月1日より情報セキュリティ早期警戒パートナーシップで報告された脆弱性を対象にCVSSv2、CVSSv3を併記して公開しています。
CVSSv2 CVSSv3
2.「CVSSv2」と「CVSSv3」の違いについて
CVSSv2は、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していましたが、CVSSv3では、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。
3.[IPA値] と [NVD値] について
深刻度横に表示される [IPA値] や [NVD値] は、どの組織が評価した深刻度かを表します。[IPA値]、[NVD値] それぞれの組織は以下のとおりです。[IPA値] と [NVD値] 両方が存在するものは、[IPA値] を優先表示しています。
| 表示 | 説明 |
|---|---|
| [IPA値] | 独立行政法人 情報処理推進機構(IPA)によるCVSS深刻度評価結果(CVSS基本値)であることを表します。 |
| [NVD値] | NIST(National Institute of Standards and Technology)が運営する脆弱性情報データベースNVD(National Vulnerability Database)に公開されている評価結果(CVSS基本値)であることを表します。 |
4.CVSS計算機について
脆弱性対策情報データベースの詳細ページにCVSSによる深刻度が表示されている場合、3つの基準[基本評価基準(基本値)、現状評価基準、環境評価基準]で脆弱性を評価することができるCVSS 計算機(CVSS Calculator)を利用することができます。CVSS計算機の使い方については、こちらをご参照下さい。
影響を受けるシステム
影響を受ける製品(OSやアプリケーション、ライブラリ、組込み製品など)の名称とそのバージョン番号などをベンダごとに列挙します。製品検索の際に選択した製品名は、ここに列挙される製品名に該当するかを比較します。
想定される影響
脆弱性が悪用された場合、影響を受ける製品のユーザに対してどのような被害が想定されるかを記述します。攻撃が成立するための条件(例えば、管理者権限であらかじめシステムにログインしている必要がある等)に関する情報も、ここに含まれます。
対策
影響を受けるシステムの開発元が提供するベンダ対策情報の存在有無を確認することができます。また修正バージョンや回避策などの対策に関する補足情報についても、ここに含まれます。
ベンダ情報
対策情報や脆弱性の対応状況、またそれに関連する情報が記載されているベンダ情報アドバイザリや修正バージョンのリリースノートなどへのリンクをベンダごとに記載します。
脆弱性に関連するベンダ情報を確認することが出来ないまたは不明確な場合には、ベンダのトップページを記載する場合があります。
参考情報
JVN サイト内や国内外の他組織、セキュリティポータルサイト等が公開する関連文書へのリンクを記載します。
更新履歴
内容修正した際に更新内容を簡潔に記載します。ベンダ情報や参考情報へのリンク追加時などは履歴の記載対象としない場合があります。
日付について
1.公表日
ベンダ情報アドバイザリの公開日、他組織やセキュリティポータルサイト等の登録/公開日、発見者が一般向けに報告した日など、脆弱性対策情報が一般に公表された日付を記載します。
2.登録日
脆弱性対策情報データベース上で初めて公開された日付を記載します。本データベース公開前(2007年4月25日)に蓄積した脆弱性対策情報は、登録日表示が「2007年04月01日」に統一されています。(ただし、2007年4月2日から4月24日までに新規登録を実施した一部データは除く)
3.最終更新日
脆弱性対策情報が更新された最後の日付を記載します。更新されていない情報は登録日と同じ日付を記載します。
■CVSS 計算機の使い方
CVSSについてはこちらをご参照下さい。
手順
- 各脆弱性対策情報の詳細ページに記載されるCVSSv2、またはCVSSv3の基本値(数値)をクリックすることで、CVSS計算機が新しいウィンドウで開きます。
- CVSS 計算機には、数値のクリックを実行した脆弱性のCVSS基本値の評価内容が、CVSS計算機にパラメータとして引き渡されます。
- 利用者が把握している、製品の利用環境や使用状況、攻撃コードの存在などの情報をもとに、必要な現状評価基準、環境評価基準の各評価項目について、プルダウンメニューから選択します。
■検索の使い方
1.基本操作
検索条件を入力して「検索」ボタンをクリックすると、その検索条件にマッチする脆弱性対策情報が表示されます。
2.検索条件
下記の検索条件を用意しています。複数の検索条件を使用すれば絞り込み検索にも利用することができます。
| 検索条件 | 検索例 | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 検索キーワード | 入力したキーワードに関連する脆弱性対策情報が表示されます。 検索の使い方(検索キーワードの入力例)を参照下さい。 |
||||||||||||||||||||
| 類義語検索 | 本データベース上で登録されている類義語辞書を利用した検索ができます。チェックボックスにチェックを入れると、キーワード検索の結果とそのキーワードに関連した類義語の検索結果が併せて出力されます。 | ||||||||||||||||||||
| ベンダ名検索 | 本データベース上で登録されているベンダから検索ができます。プルダウンから検索したいベンダを選択します。 | ||||||||||||||||||||
| 製品検索 | 本データベース上で登録されている製品情報から検索ができます。プルダウンから検索したい製品名を選択します。 製品検索では、製品を選択する前にベンダ名を指定する必要があります。 |
||||||||||||||||||||
| ベンダ名/製品名検索 | ベンダ名、製品名でキーワード検索を行い、検索条件に反映させることができます。 「ベンダ名/製品名検索」ボタンをクリックするとダイアログが表示されますので、キーワードによる検索を行います。 検索例:  |
||||||||||||||||||||
| 公表日検索 | 脆弱性が発見された日付で期間(年月)を指定して検索ができます。プルダウンから期間(年月)を選択します。また開始年月または終日年月のみの指定でも検索可能です。 |
||||||||||||||||||||
| 最終更新日検索 | 本データベース上で最終更新された日付で期間(年月)を指定して検索ができます。プルダウンから期間(年月)を選択して検索することができます。「公表日検索」と同じ使い方です。 | ||||||||||||||||||||
| 深刻度 | 各詳細ページのCVSSv3の基本値または、CVSSv2の基本値のどちらかを基に表示される次の深刻度を選択して検索することができます。CVSSについてはこちらをご参照下さい。
|
||||||||||||||||||||
| CWE | 共通脆弱性タイプ一覧(CWE)を指定して検索ができます。 |
3.検索キーワードの入力例
キーワード検索では、製品名や ID、攻撃手法などを入力します。また、以下のように検索語をスペースで区切っての複数条件での検索や、部分一致検索ができます。日本語での検索結果の件数が少ない場合は、英語でも試してみてください。(「シスコ」→「Cisco」 など)
キーワードで検索する:
- ベンダ名 (「Sun」、「富士通」)
- 製品名 (「Apache」、「Oracle Database」、「Firefox」)
- 攻撃手法の名称 (「クロスサイトスクリプティング」、「バッファオーバーフロー」、「DoS」 など)
拡張キーワードについて
脆弱性対策情報検索画面の検索条件に対して以下の拡張キーワードを指定した場合、指定されたキーワードに従って検索を行います。
拡張キーワード一覧- vendor : ベンダ名に対して指定された文字列の部分一致検索を行います。
- product : 製品名に対して指定された文字列の部分一致検索を行います。
拡張キーワード指定方法- 拡張キーワード:検索文字列 (例> vendor:アドビシステムズ)
拡張キーワードを同時に指定した場合はAND条件による検索を行います。
(例> vendor:apache product:tomcat)
ベンダ情報アドバイザリIDで検索する:
- レッドハット セキュリティアプデート (「RHSA-2004:120」)
- ターボリナックス 製品セキュリティ情報 (「TLSA-2007-13」)
- 2006年に公開されたターボリナックス 製品セキュリティ情報を検索 (「TLSA-2006」)
JVNサイトのIDで検索する:
- VN-JP (「JVN#47272891」、「JVN#」)
- VN-CERT/CC (「JVNVU#」、「JVNTA06-283A」、「JVNCA-2004-01」)
- 登録済み VN-CPNI 全てを検索 (「NISCC-」)
- TRnotes (「TRTA07-047A」)
他組織やセキュリティポータルサイトのIDで検索する:
- CVE,NVD (「CVE-2007-0001」)
- US-CERT (「VU#794752」、「TA07-047A」、「TA06」)
- XForce (「27849」)
- Secunia (「SA24109」)
