マイクロソフト セキュリティ アラートの深刻度

公開日: 2004年8月4日

マイクロソフトは、マイクロソフトのソフトウェアおよびお客様に影響を及ぼすウイルスおよびその他の技術的な攻撃に関し、アラートを発行しています。マイクロソフトでは、マイクロソフトのソフトウェアおよびお客様に関連するウイルスおよびワームなどの技術的な攻撃を分類する深刻度の評価システムを定義しています。カテゴリ化を簡略化するため、マイクロソフト セキュリティ情報で使用している深刻度評価システムに合わせるて、攻撃を 3 つの種類に分類しました。

この評価システムの開発の過程において、攻撃によってコンピュータが受ける影響および、ある特定の攻撃が別の攻撃よりもユーザーに多くの被害を与える理由など、数多くの詳細を考慮に入れました。マイクロソフトは、最も大きな被害を及ぼし、破壊的な攻撃は、以下のものであると確認しました。

  • 複数の方法によりユーザーのコンピュータに影響を及ぼす攻撃

  • データを破壊し、サービスを著しく妨害する攻撃

  • ソフトウェア、その機能上の設計、またはその機能のセットの脆弱性を悪用する攻撃

これらの要素および広く知られている技術的な攻撃を分析し、以下の分類システムを採用しました。まず、マイクロソフトのソフトウェアおよびお客様に関連する、ある攻撃において 6 つの特徴を定義しました。また、この 6 つの特徴の評価を表す有効な値も定義しました。そして、攻撃 (ウイルスなど) のどの特徴がある基準を満たす必要があるかを定義するマトリックスを作成しました。

トピック

攻撃の特徴の定義

ウイルス アラートの深刻度評価

攻撃の特徴の定義

マイクロソフト製品の脆弱性の悪用 有効な値 : あり / なし / 更新プログラムが入手不可
あり : 更新プログラムが入手可能なマイクロソフト製品の脆弱性が悪用された攻撃
なし : マイクロソフト製品の脆弱性が悪用されてない攻撃
更新プログラムが入手不可 : 更新プログラムがまだリリースされていない、または回避策のみが提供されているマイクロソフト製品の脆弱性が悪用された攻撃。

攻撃の方法

有効な値 : 整数。この数値は、確認された攻撃の方法、感染の方法の数を示します。感染方法および攻撃方法とは、通常、電子メール、ポート 80、ネットワーク ファイル共有などを指します。

新たな攻撃の方法 有効な値 : あり / なし
あり : 攻撃が新たな方法、またはこれまで知られていなかった攻撃方法を使用しているもの。従来の攻撃経路をこれまでにない新たな方法で悪用する攻撃の場合もこの項目に当てはまる場合があります。
なし : 既知の方法または回避可能であった方法が悪用される攻撃。回避可能であった攻撃方法には、Outlook 電子メール セキュリティ アップデートによって保護される方法などのように、現在保護され、回避可能である電子メールによる方法などがあります。回避可能であった攻撃方法には、攻撃およびウイルス作成者によって一般的に使用される周知の攻撃方法も含まれます。

感染拡大の可能性 有効な値 : 高 / 中 / 低
: 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が高い。これは、攻撃が高速で広がり、攻撃の被害者が多数に上る可能性があることを意味します。
: 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が中程度。これは、攻撃が高速で広がるが、必要な保護策は既に取られている、または潜在的な攻撃の被害者は分離しており、そのため拡大が抑制されることを意味します。
: 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が低い。これは、攻撃技術が高度ではなく、感染の方法が限られるという理由、または別の問題により攻撃が高速では広がらない、また被害の対象も多数ではないと考えられるもの。

一意なデータの破壊 有効な値 : あり / なし
あり : 一意のデータが破壊される場合。たとえばドライブ全体の再フォーマット、個人情報および再インストールが可能なプログラムまたは実行可能ファイル (.exe) に関連しない情報を消去する場合。
なし : データは破壊されない、または一意でないデータ (例 : 再インストールが可能な限定されたプログラム ファイル) が破壊される可能性がある場合

大幅なサービス妨害: 有効な値 : あり / なし
あり : 攻撃により、サービスに大幅なサービス妨害が起こる可能性があります。これは、通常たとえばメール配信の遅延およびネットワーク帯域幅消費など、ネットワークに関連して起こります。ウイルスによる攻撃のほとんどが、何らかのサービス妨害が引き起こしますが、このフィールドは、マイクロソフトの推定で、重要なサービスに多大な妨害を引き起こす攻撃に使用されます。
なし : 多大なサービス妨害が起こらない攻撃。しかし、ウイルスによるサービス妨害が起こる可能性はあります。

ページのトップへ

ウイルス アラートの深刻度評価

「緊急」セキュリティアラート:

攻撃が以下の特徴に当てはまる場合、「緊急」レベルのアラートが発行されます。

特徴 評価
マイクロソフト製品の脆弱性の悪用 あり / 更新プログラムが入手不可 (*)
感染方法 方法 >= 2
新たな感染方法 あり / なし
感染拡大の可能性
一意なデータの破壊 あり / なし
大幅なサービス妨害 あり
\* 更新プログラムがリリースされていないマイクロソフト製品の脆弱性が悪用された攻撃は、マトリックスのほかの項目に関わらず、「緊急」となります。 **「警告」セキュリティアラート** 攻撃が以下の特徴に当てはまる場合、「警告」レベルのアラートが発行されます。
特徴 評価
マイクロソフト製品の脆弱性の悪用 あり / なし
新たな感染方法 方法 <= 2
感染方法 あり / なし
感染拡大の可能性 中 / 高
一意なデータの破壊 なし
大幅なサービス妨害 なし
**「注意」セキュリティアラート** 攻撃が以下の特徴に当てはまる場合、「注意」レベルのアラートが発行されます。
特徴 評価
マイクロソフト製品の脆弱性の悪用 なし
感染方法 方法 = 1
新たな感染方法 なし
感染拡大の可能性
一意なデータの破壊 なし
大幅なサービス妨害 なし
特徴に複数の評価が含まれる場合、どちらかの評価があてはまります。評価が 1 つのみ記載された特長に関しては、その深刻度に分類される攻撃は、その特徴に当てはまることが条件となります。また、深刻度は、すべての特徴に当てはまることが条件となります。 「注意」の深刻度に当てはまる攻撃は、その影響がわずかであるため、マイクロソフトは、それらの攻撃に関するアラートや情報のリリースは予定していません。「警告」または「緊急」の深刻度の攻撃に関しては、あらゆる方法で発生後数ヶ月間にわたり、お客様にアラートをリリースする予定です。 攻撃に関してお客様にアラートおよび情報提供を行うための適切なマトリックスを作成している間も、技術的な攻撃は進化および変化し続けています。マイクロソフトは、攻撃に対応して作成したこれらのプロセスを常に見直し、改善する予定です。マイクロソフトは、プロセスの進展に関してお客様に情報を提供し、すべてのお客様のコンピュータを常にセキュアで保護された状態に保つ手助けができるよう努力をします。 [](#mainsection)[ページのトップへ](#mainsection)