Microsoft Exploitability Index (悪用可能性指標)

Microsoft Exploitability Index (悪用可能性指標) は、マイクロソフトのセキュリティ更新プログラムの公開後 30 日間で、更新プログラムが解決する脆弱性が悪用される可能性に関する情報を提供することにより、お客様がマイクロソフトのセキュリティ更新プログラム適用の優先順位を決定する手助けをします。

マイクロソフトが Exploitability Index を開発した理由

マイクロソフトは、より詳細なリスク評価のための追加情報に対するお客様からのご要望に対応して、Exploitability Index を開発しました。

Exploitability Index の内容

マイクロソフトはセキュリティ更新プログラムに関連する、それぞれの脆弱性が悪用される攻撃の可能性について評価しています。それを踏まえて、月例のセキュリティ情報のサマリの一部として悪用の情報を公開します。Exploitability Index の評価が変更を保証することを 30 日以内に確認した場合、マイクロソフトはセキュリティ情報の概要での評価を変更し、技術的なセキュリティ通知によりお客様にお知らせします。マイクロソフトは、既存の悪用可能性の情報に一致する悪用コードが公開された時点では、セキュリティ情報の概要での評価を更新しません。

この悪用可能性の情報には次の内容が含まれています。

• セキュリティ情報 ID
• セキュリティ情報のタイトル
• 特定の脆弱性に関連する CVE の識別番号
• 最新のソフトウェア リリースに関するコード実行の悪用可能性の評価
• 以前のソフトウェア リリースに関するコード実行の悪用可能性の総評価
• サービス拒否の可能性についての説明および
• 重要な注意

「最新のソフトウェア リリース」とは、常に、セキュリティ情報の「影響を受けるソフトウェア」および「影響を受けないソフトウェア」の表に記載されているアプリケーションまたはプラットフォームの最新のバージョンと定義されます。「以前のソフトウェア リリース」については、セキュリティ情報の「影響を受けるソフトウェア」の表に記載しているすべてのその他のサポートされているリリースに関連する最も深刻な評価です。

たとえば、2011 年 5 月のセキュリティ更新プログラムで解決された脆弱性の悪用可能性の評価は次の通りです。

複数の製品のシリーズが影響を受けるシナリオ (例えば Windows および Office の両方に影響を及ぼす脆弱性など) では、「最新のソフトウェアのリリース」の深刻度は、両方の製品のうち高い方のリスク レベルを反映した評価になります。この場合、最新バージョンの Office に関する悪用可能性の評価は、「1」で、最新バージョンの Windows が「2」であるため、評価は「1」になります。

どちらの場合でも、Exploitability Index (悪用可能性指標) はマイクロソフト セキュリティ情報で解決している脆弱性を基に、3 段階の評価方法のうちのひとつを使用して、お客様に悪用コードの実行の可能性をお伝えします。2011 年 12 月 以降、マイクロソフトは評価を簡略かつ明確にするために、表現を変更しました。

1 - 悪用コードの可能性

この評価は、マイクロソフトの解析では、悪用コードが作成されて攻撃者が安定的に脆弱性を悪用する可能性があることを意味します。たとえば、攻撃者は同じ結果を何度も期待して、安定的にリモートでコードを実行する可能性があります。攻撃者にとっては、興味を引く対象であるため、悪用コードが作成される可能性が高くなります。以上のことから、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より高い優先度となります。

2 - 悪用コードの作成困難

この評価は、マイクロソフトの解析では悪用コードが作成される可能性があるものの、該当する製品を標的とした場合に、専門性と、精緻なタイミング、さらに（または）多様な変化を要するため、攻撃者によるコードの作成が困難であることを意味します。たとえば、悪用によってリモートでコードが実行される可能性がありますが、その成功の確率は 10 回に 1 回または 100 回に 1 回程度で、標的にされたシステムの状態や悪用コードの質によって決まると考えられます。攻撃者は、標的の環境についてより多くの知識を得てその環境を制御し、攻撃の成功率を高める可能性がありますが、この攻撃は本質的に信頼性が低いため、攻撃対象としてあまり攻撃者の興味を引くことはないと考えられます。そのため、悪用コードが作成される可能性はあるものの、安定的に悪用可能な他の脆弱性と同じように効果的な攻撃ではありません。お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より緊急性の高い別の脆弱性と比較した場合に、この更新プログラムを適用する優先度は低くなる可能性があります。

3 - 悪用コードの可能性低

この評価は、マイクロソフトの解析では、機能する悪用コードが作成される可能性が低いという意味です。つまり、脆弱性が悪用され、異常な動作を引き起こすコードが公開される可能性はあるものの、脆弱性の影響を完全に悪用して攻撃に成功するような悪用コードが作成される可能性が低いという意味です。攻撃者がこの種類の脆弱性を悪用して攻撃を成功させるには、多くの投資が必要になります。そのため、このような悪用コードの作成によるリスクおよび、セキュリティ情報のリリースから 30 日以内に使用される可能性は大幅に低くなります。したがって、お客様がセキュリティ情報を確認し、お使いの環境への適用性を判断する場合、他の公開された脆弱性よりもこの更新プログラムの優先度は低くなる可能性があります。

サービス拒否の悪用可能性の評価は、次のいずれかになります。

脆弱性によりサービス拒否が継続される場合、管理者がシステム全体またはシステムの一部を起動、再起動または再インストールすることが必要になります。すべてのシステムを自動で再起動させる脆弱性は、永続的なサービス拒否 (DoS) であると考えられることにも注意してください。また通常、Microsoft Office リリースなど、対話的に使用する目的があるクライアント アプリケーションは、サービス拒否の悪用可能性は評価しません。

注意事項のセクション

表で示される注意事項には、特定の製品やオペレーティング システムにより悪用の可能性が異なるかどうかの追加情報と、特定の脆弱性が悪用される可能性に関して重要な情報が含まれています。上の例では、Windows 2000 は他のオペレーティング システムよりもリスクが高くなっています。そのため、お客様がオペレーティング システムまたは製品のバージョンによって優先度を決める場合は、この点を考慮してください。

重要な用語および定義

悪用コード - 脆弱性のあるシステムに対して実行された場合、別人になりすまして攻撃者の身元を隠す、ユーザー情報またはシステム情報を改ざんする、攻撃者の行為への関与を打ち消す、サーバー側のユーザー情報またはシステム情報を漏洩する、正当なユーザーに対してサービスを拒否する、または攻撃者の特権を昇格するために脆弱性を悪用するソフトウェア プログラムまたはサンプル コードを意味します。 たとえば、もしある脆弱性に、リモートでコードが実行されるセキュリティ上の影響があり、悪用コードが標的のシステムに対して実行された場合、リモートでのコードの実行を引き起こす原因となる可能性があります。

脆弱性を誘発 - 脆弱性のあるコードにアクセスできるものの、常に最大の影響に到達するような悪用はできないことを意味します。たとえば、リモートでコードが実行される脆弱性を誘発することは簡単にできても、結果的にはサービス拒否のみで終わる場合があります。

Exploitability Index に関するよく寄せられる質問 (FAQ)

Q: Microsoft Exploitability Index (悪用可能性指標) とは何ですか?

A:Microsoft Exploitability Index (悪用可能性指標) は、お客様が毎月のマイクロソフト セキュリティ更新プログラム適用の優先順位を決定する手助けとなる詳細情報を提供するためのものです。マイクロソフトは、この指標を、マイクロソフトのセキュリティ情報で解決している各脆弱性を基に、悪用コード実行の可能性に関するガイダンスをお客様に提供するために作成しました。

Q: マイクロソフトが Exploitability Index を開発した理由は何ですか?

A:お客様から、毎月公開しているマイクロソフトのセキュリティ更新プログラムを適用する際の優先順位の決定に役立つ情報、特にセキュリティ情報で解決している脆弱性に対する悪用コード実行の可能性に関する情報提供の要望を受けました。マイクロソフトは Web キャストやお客様からのお問い合わせへの応対を通じて、セキュリティ更新プログラムの公開時に既知の悪用コードまたは攻撃の詳細に関する情報提供のご要望に回答していました。Exploitability Index は、それよりも多くの情報を提供し、どのように脆弱性が悪用される可能性があるのか、セキュリティ情報の公開後、どのような悪用コードが公開される可能性があるのかなどをお知らせします。

Q: これは本当に信頼できる評価システムですか?

A:セキュリティ エコシステム内での活動を予測することは常に困難である一方、このシステムを信頼できると見なせる理由が 3 つあります。

まず、過去数年にわたりマイクロソフトは、マイクロソフトのセキュリティ情報が公開されたその日に、防御策を作成および評価するために多くのセキュリティ リサーチャーがセキュリティ情報に関連する更新プログラムを分析するのを見てきました。このような分析を行う際、リサーチャーの多くもまた、このことをテストするために悪用コードを作成しています。この悪用コードを開発するために使用されている方法論は、マイクロソフトが悪用コードの公開の可能性を判断するために使用している方法論と類似しています。マイクロソフトでは、更新プログラム自体、脆弱性の本質、および悪用コードの実行を成功させるために必要となる条件を分析しています。

次に、マイクロソフトのセキュリティ更新プログラムにより解決されるすべての脆弱性について、悪用コードが公開されるわけではありません。実際、2006 年および 2007 年のマイクロソフト セキュリティ情報で解決された脆弱性のうち、機能する悪用コードが公開された脆弱性は 30% だけでした。悪用コードの公開を決定付ける社会的要因は多数ありますが、一部の脆弱性には技術的に他と異なる点があり、そのために悪用がより困難になる場合があります。たとえば、Windows Vista 上で Address Space Layout Randomization (ASLR) とデータ実行防止 (DEP) を組み合わせることで、悪用がより困難になる脆弱性もあります。悪用コードが機能するには、予測可能な状態にあるメモリがコンピューター上に存在することが必要条件となる脆弱性もあります。したがって、上記の方法論を使用して各脆弱性を注意深く分析することにより、安定して機能する悪用コードの作成の困難さについての信頼できる洞察が得られます。

最後に、私たちは Microsoft Active Protections Program を通して保護プロバイダーとパートナー関係を結んでおり、協力して毎月のマイクロソフトの予測を検証しています。これにより、情報共有を通して、より高い正確性を確保するための方法としてコミュニティのアプローチを使用しています。

Q: 悪用可能性指標は、MSRC のセキュリティ情報の深刻度評価システムと、どう異なりますか?

A: MSRC セキュリティ情報の重大度評価システムは、悪用が成功することを前提としています。悪用の可能性が高い一部の脆弱性については、この前提は多くの攻撃者に当てはまる場合が多いと考えられます。悪用の可能性が低いその他の脆弱性については、この前提は執拗な攻撃者が攻撃を成功させるために多くのリソースを費やした場合にのみ、当てはまると考えられます。マイクロソフトでは、セキュリティ情報の重大度または Exploitability Index の評価にかかわらず常に、すべての適用可能および利用可能な更新プログラムを適用することを推奨していますが、この評価情報は、技術的に高度なお客様が毎月の更新プログラムの公開に対するアプローチに優先順位を付ける際に役立ちます。

Q: サービス拒否、改ざん、情報漏えい、またはなりすましの問題は、どのように評価されますか?

A:悪用可能性指標は、コードを実行する際に悪用される可能性がある脆弱性だけを評価します。サービス拒否、改ざん、情報漏えい、またはなりすましを起こす可能性がある脆弱性は、悪用可能性指標「3」の評価になります。特定の CVE も、この脆弱性の性質が反映されることに注意してください。

Q: Exploitability Index が不正確である場合、どうなりますか?

A:脆弱性の悪用可能性の評価は、発展途中の科学であり、悪用全般に関する新しい技術またはある脆弱性に固有の技術が見つかり、それが Exploitability Index 評価に変更をもたらす場合があります。しかし、Exploitability Index の目標はお客様が最新の月例の更新プログラムの優先順位を決定するのを支援することです。したがって、セキュリティ公開の最初の月に公開された評価を変更する情報があった場合、MSRC は Exploitability Index を更新します。情報が以降の月に利用可能となった場合で、それがほとんどのお客様が優先順位を決定した後である場合には、Exploitability Index は更新しません。理由は、この場合の Exploitability Index はお客様にとって有益ではないためです。

Q: Exploitability Index は CVSS およびその他の評価システムとどのような関連がありますか?

A:Exploitability Index はその他の評価システムとは別のもので、関連はありません。しかし、Microsoft Research Center (MSRC) は共通脆弱性評価システム (CVSS) の賛助会員であり、CVSS が効果的で実用的なものとなるように、マイクロソフトは Exploitability Index の作成および公開についての経験とお客様からのフィードバックを作業グループと共有しています。

Q. Exploitability Index は標的型攻撃に対する警告を行いますか?

A: Exploitability Index 自体は攻撃者が攻撃を標的を定める方法についての警告は行いませんが、標的型攻撃でどの脆弱性がより悪用される可能性が高いかについての見解をお客様に提供するにあたり、有益である場合もあります。たとえば、限定された標的型攻撃で、攻撃者は攻撃を検出されにくくするために、悪用できる見込みの大きい脆弱性を選択する可能性が高くなります。したがって、標的型攻撃を懸念されるお客様は、Exploitability Index を使用して、毎月のリスク評価でこのような脆弱性の更新プログラムおよび防御策を優先することができます。