脆弱性とは―種類、セキュリティホールの見つけ方、脆弱性評価指標など

脆弱性とは、セキュリティの穴です。脆弱性の種類、セキュリティホールの見つけ方、脆弱性評価指標など。脆弱性についてまとめています。

▲記事トップへ

目次

以下は目次になります。

1. 脆弱性（セキュリティホール）とは
2. 脆弱性（セキュリティホール）の種類
3. 脆弱性（セキュリティホール）の探して見つける方法
4. 脆弱性評価指標

知識の幅を広げるための参考
更新履歴

1. 脆弱性（セキュリティホール）とは

脆弱性とは、もろくて弱い性質や性格のこと。特に情報セキュリティでよく使われる言葉です。

情報セキュリティでの脆弱性の意味は、 設備や技術、管理・制度などの情報に関連したリスクの要因となる弱点や欠陥を意味します。

つまり脆弱性は、サイバー犯罪に利用できるセキュリティの穴、セキュリティホールのことです。 情報システムの情報セキュリティに関する欠陥、企業、組織、個人に対する行動規範の不徹底、未整備という脅威に対する不備などがあります。

以下では、セキュリティホールや脆弱性の見つけ方、脆弱性の評価の方法についてまとめていきます。

2. 脆弱性（セキュリティホール）の種類

サイバー攻撃の攻撃手法を切り口に脆弱性（セキュリティホール）の種類について見ていきます。

SQLインジェクション

SQLインジェクションは、アプリケーションのSQL文生成処理の不備を突いたサイバー攻撃です。 代表的なWebアプリケーションの脆弱性（セキュリティホール）です。

スタックフィンガープリンティング

スタックフィンガープリンティングは、サーバーで用いられているオペレーティングシステムの種類やバージョンなどを、外部から特定する手法です。 これをもとに脆弱性（セキュリティホール）を探して、特定して攻撃するのに利用されます。

その他

その他に代表的なものだけでも以下のような脆弱性（セキュリティホール）が挙げられます。

• アドレススキャン
• ポートスキャン
• スタックフィンガープリンティング
• パケット盗聴
• DNSサーバからの情報収集
• ソーシャルエンジニアリング
• フィッシング
• DNSキャッシュポイズニング攻撃
• ウォードライビング
• パスワードクラック
• セッションハイジャック
• ARPスプーフィング
• セッションIDの固定化攻撃
• バッファーオバフロー攻撃
• クロスサイトスクリプティング
• OSコマンドインジェクション
• HTTPヘッダインジェクション
• メールヘッダインジェクション
• ディレクトリトラバーサル攻撃
• クロスサイトリクエストフォージェリ
• DoS攻撃
• スパムメール
• マルウェア
• クリックジャッキング攻撃
• 標的型攻撃
• SEOポイズニング

3. 脆弱性（セキュリティホール）の探して見つける方法

脆弱性（セキュリティホール）を見つけるための観点の探して、脆弱性（セキュリティホール）の見つける方法について見ていきます。

脆弱性（セキュリティホール）の観点の探し方

ソフトウェアのテストと同じで、脆弱性（セキュリティホール）も観点がないと見逃してしまいますので、まずは観点を広げて行きましょう。 また脆弱性（セキュリティホール）の観点を探したら、チェックリストなどにまとめましょう。

脆弱性（セキュリティホール）に関する情報の7割はネット上に転がっている

おそらく脆弱性情報の7割はネット上に転がっていると思います。 専門家じゃなくて素人でも、違法行為を働かなくても正規の方法で、情報収集できると思います。

検索エンジン

Index ofページ、意図せず公開されているExcelファイル、ログイン情報、社内に対する匿名の投稿、エラー出力されたページなど、 技術系の検索しているとよく見かけます。

とあるセキュリティのセミナーに参加したとき、デモで有名大学のある部署の「パスワード管理.xls」が検索されていました。

今の世の中、検索エンジンに支配される世の中ではないかと思います。AIの発達など検索エンジンのDBが一番の脆弱性情報DBと思います。

あと、Censysなどハッカー向けの検索エンジンがあるのも驚きです。

ちなみに、Google検索など検索エンジンを使用して脆弱性情報を収集する手法をGoogleハッキングとか検索エンジンハッキングというようです。

検索エンジンハッキングに使用する検索オプションの例

想像力と検索エンジンの機能を駆使すれば、違法行為を働かなくても正規の方法で大方のヒントが収集できるのではと思います。

以下は検索エンジンの検索オプションの例です。

検索エンジンのコマンド

以下は検索エンジンの検索オプションコマンドの例です。

• intitle:

  ページのタイトルに指定文字が含むページを指定

• site:

  特定のドメインのみを対象に指定

• link:

  指定ページのリンクページのみを対象に指定

• cache:

  検索エンジンにキャッシュされているページを表示

• filetype:

  ファイルの拡張子を指定し、特定の拡張子のみを検索対象として指定

• filter:

  指定記事を除いて検索

• intext:

  本文に指定文字列が含むものを検索

• inbody:

  URLに指定文字列が含むものを検索

脆弱性DB

NISTやIPAなどの機関で、セキュリティの専門家により、脆弱性データベースが更新されています。 脆弱性データベースを参照すれば、専門化じゃなくて、素人でも簡単に新しい脆弱性を把握することができます。

たとえば、NVD。NVDとは？

NISTが管理している脆弱性情報データベースのことです。報告されたソフトウェアの脆弱性が検索できます。

その他、JVN

NVDの日本番。JPCERT/CC、IPAが共同で運営する日本国内のソフトウェアの脆弱性情報を取り扱うデータベースのことです。 こちらも報告されたソフトウェアの脆弱性が検索できます。

脆弱性（セキュリティホール）の見つけ方

観点がまとまったら、検出方法を検討して、実際に脆弱性（セキュリティホール）を見つけていきましょう。 参考として検出ツールや方法について見ていきます。

OWASP Zed Attack Proxy (ZAP)

Webアプリケーション脆弱性診断ツールです。

詳細

Burp Suite

Burp Suiteは、手動もしくは自動のセキュリティテストをサポートするWebアプリケーション脆弱性診断ツールです。

詳細

metasploit

Metasploitは、攻撃コードの作成、実行を行うためのフレームワークソフトウエアです。 昔は、完全にオープンソースなプロジェクトでしたが、現在はRapid7社が管理しています。 無料版と有料版があります。

metasploitといった場合、開発元やコミュニティーを指すことがありますが、ここでは、Metasploit Frameworkのことして、Metasploitといって説明しています。

Metasploit Frameworkとは

Metasploit Frameworkは、exploitコードの作成や実行を行うためのフレームワークです。

Nessus

Nessusは、ポートスキャンや擬似的なアクセスなどのテストを行って、対象サーバーの脆弱性を調査するツールです。 オープンソースしたが、バージョン3.0以降はプロプライエタリソフトウェアとして開発され、企業の一般利用には有償のライセンス契約が必要です。 対象サーバーの使用ソフトウェアの既知の脆弱性、設定ミスや脆弱なパスワードなどの調査が行えます。

OpenVAS

OpenVASは、昔オープンソースとして開発されていたNessusから派生したネットワーク診断ツールです。 ポートスキャンや擬似的なアクセスなどのテストを行って、対象サーバーの脆弱性を調査するツールです。 ツールが提供されるだけでなく、脆弱性データベースは日々更新されています。 ライセンスはGNU GPLで、OpenVASは、Open Vulnerability Assessment Systemの略です。

Qualys

SSL関連の診断ツールです。サーバー側とクライアント側のブラウザの設定もテストできます。

URL）https://www.ssllabs.com/ssltest/index.html

挙動やソースなどシステム情報の収集＆目視で見ながら試して確認

なかなか試すのは難しいこともありますが、例えば、WEB公開領域に一次的において消し忘れた危ないファイルなど、 ツールを掛けるよりも実施に目で見ると気づいてドキッとすることが多いのではと思います。

ZAPなどオープンソースのツールのソースを見て、どのような手順でエクスプロイトを実行しているかを見るなども参考になるのではと思います。

4. 脆弱性評価指標

脆弱性を共通の尺度で認識できるように評価システムが作られています。

CVSSとは？

CVSSは、Common Vulnerability Scoring Systemの略です。 コンピュータ・セキュリティの非営利団体のFIRSTが推進する、脆弱性評価システムです。

ソフトウェアや情報システムの脆弱性の深刻度を評価する手法の一つになります。 システムの種類や開発元の違い、評価者の違いなどに共通の尺度で深刻度を計るもので、3種類の指標を0.0から10.0までの得点で表します。

参考

• CVSSとは―CVSSスコアはメジャーな指標！脆弱性のスコアリング手法です。

CVSSの3種類の指標

CVSSには以下の3種類の指標があります。

• CVSS基本値（base score）

  脆弱性自体の特性を評価する指標です。 脆弱性の技術的な特性を評価する基準です。 その脆弱性によってどこからどのような攻撃が可能か、どのような影響が起こりうるかなど、脆弱性自体の性質に基づいて評価される指標です。

• CVSS現状値（temporal score）

  パッチ・プログラムの提供状況などを考慮に入れた指標です。 ある時点における脆弱性を取り巻く状況を評価する基準です。 攻撃される可能性や、対応策や修正プログラムなどが利用可能か、脆弱性情報の信頼性など、その脆弱性の現在の状態によって評価される指標です。

• CVSS環境値（environmental score）

  ユーザーの環境での影響度を含めた指標です。 利用者環境における問題の大きさを評価する基準です。 攻撃を受けた際の二次被害の可能性や影響を受ける対象の範囲、対象システムの機密性などの要求度合いなどによって評価される指標です。

なお、脆弱性そのものの一般的な深刻度は基本値で表わされることが多いです。

CVSSv2とCVSSv3

CVSSには、FIRSTから2007年6月20日に公開された共通脆弱性評価システムCVSSv2、2015年6月10日に公開されたCVSSv3が存在します。

CVSSv2とCVSSv3の違いについて

CVSSv2は、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していましたが、 CVSSv3では、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。

CVSS基本値（base score）

CVSS基本値とは

CVSSの3種類の指標の1つです。 脆弱性自体の特性を評価する指標です。 脆弱性の技術的な特性を評価する基準です。 その脆弱性によってどこからどのような攻撃が可能か、どのような影響が起こりうるかなど、脆弱性自体の性質に基づいて評価される指標です。

CVSS基本値は、時間（現状評価）や利用方法（環境評価）に依存しない項目「攻撃元区分、攻撃条件の複雑さ、攻撃前認証要否、機密性/完全性/可用性への影響」で評価します。 CVSS基本値の項目選択値は、JVN iPediaやNVDなどの脆弱性対策データベース、製品開発ベンダー、セキュリティベンダーのWebサイトから入手できます。

CVSS深刻度評価結果

深刻度横に表示されるIPA値やNVD値は、どの組織が評価した深刻度かを表します。 IPA値、NVD値それぞれの組織は以下のとおりです。

• IPA値

  独立行政法人 情報処理推進機構(IPA)によるCVSS深刻度評価結果(CVSS基本値)であることを表します。

• NVD値

  NISTが運営する脆弱性情報データベースNVDに公開されている評価結果(CVSS基本値)であることを表します。

知識の幅を広げるための参考

• 情報セキュリティマネジメント

  管理・対策・実装技術まで一望＆堀さげ！参考書のお供に！をテーマに、情報セキュリティマネジメントについてまとめています。

更新履歴

• 2022/7/29 Metasploit FrameworkとBurp Suiteについて追記しました。
• 2022/7/28 スタックフィンガープリンティングについて追記しました。
• 2016/7/22 目次と脆弱性の種類についての記述を追加しました。
• 2015/12/14 記事をUPしました。

戻る