マイクロソフト セキュリティ アラートの深刻度
公開日: 2004年8月4日
マイクロソフトは、マイクロソフトのソフトウェアおよびお客様に影響を及ぼすウイルスおよびその他の技術的な攻撃に関し、アラートを発行しています。マイクロソフトでは、マイクロソフトのソフトウェアおよびお客様に関連するウイルスおよびワームなどの技術的な攻撃を分類する深刻度の評価システムを定義しています。カテゴリ化を簡略化するため、マイクロソフト セキュリティ情報で使用している深刻度評価システムに合わせるて、攻撃を 3 つの種類に分類しました。
この評価システムの開発の過程において、攻撃によってコンピュータが受ける影響および、ある特定の攻撃が別の攻撃よりもユーザーに多くの被害を与える理由など、数多くの詳細を考慮に入れました。マイクロソフトは、最も大きな被害を及ぼし、破壊的な攻撃は、以下のものであると確認しました。
複数の方法によりユーザーのコンピュータに影響を及ぼす攻撃
データを破壊し、サービスを著しく妨害する攻撃
ソフトウェア、その機能上の設計、またはその機能のセットの脆弱性を悪用する攻撃
これらの要素および広く知られている技術的な攻撃を分析し、以下の分類システムを採用しました。まず、マイクロソフトのソフトウェアおよびお客様に関連する、ある攻撃において 6 つの特徴を定義しました。また、この 6 つの特徴の評価を表す有効な値も定義しました。そして、攻撃 (ウイルスなど) のどの特徴がある基準を満たす必要があるかを定義するマトリックスを作成しました。
トピック
攻撃の特徴の定義
マイクロソフト製品の脆弱性の悪用
有効な値 : あり / なし / 更新プログラムが入手不可
あり : 更新プログラムが入手可能なマイクロソフト製品の脆弱性が悪用された攻撃
なし : マイクロソフト製品の脆弱性が悪用されてない攻撃
更新プログラムが入手不可 : 更新プログラムがまだリリースされていない、または回避策のみが提供されているマイクロソフト製品の脆弱性が悪用された攻撃。
攻撃の方法
有効な値 : 整数。この数値は、確認された攻撃の方法、感染の方法の数を示します。感染方法および攻撃方法とは、通常、電子メール、ポート 80、ネットワーク ファイル共有などを指します。
新たな攻撃の方法
有効な値 : あり / なし
あり : 攻撃が新たな方法、またはこれまで知られていなかった攻撃方法を使用しているもの。従来の攻撃経路をこれまでにない新たな方法で悪用する攻撃の場合もこの項目に当てはまる場合があります。
なし : 既知の方法または回避可能であった方法が悪用される攻撃。回避可能であった攻撃方法には、Outlook 電子メール セキュリティ アップデートによって保護される方法などのように、現在保護され、回避可能である電子メールによる方法などがあります。回避可能であった攻撃方法には、攻撃およびウイルス作成者によって一般的に使用される周知の攻撃方法も含まれます。
感染拡大の可能性
有効な値 : 高 / 中 / 低
高 : 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が高い。これは、攻撃が高速で広がり、攻撃の被害者が多数に上る可能性があることを意味します。
中 : 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が中程度。これは、攻撃が高速で広がるが、必要な保護策は既に取られている、または潜在的な攻撃の被害者は分離しており、そのため拡大が抑制されることを意味します。
低 : 一般ユーザーまたは企業ユーザーなど、攻撃対象への感染拡大の可能性が低い。これは、攻撃技術が高度ではなく、感染の方法が限られるという理由、または別の問題により攻撃が高速では広がらない、また被害の対象も多数ではないと考えられるもの。
一意なデータの破壊
有効な値 : あり / なし
あり : 一意のデータが破壊される場合。たとえばドライブ全体の再フォーマット、個人情報および再インストールが可能なプログラムまたは実行可能ファイル (.exe) に関連しない情報を消去する場合。
なし : データは破壊されない、または一意でないデータ (例 : 再インストールが可能な限定されたプログラム ファイル) が破壊される可能性がある場合
大幅なサービス妨害:
有効な値 : あり / なし
あり : 攻撃により、サービスに大幅なサービス妨害が起こる可能性があります。これは、通常たとえばメール配信の遅延およびネットワーク帯域幅消費など、ネットワークに関連して起こります。ウイルスによる攻撃のほとんどが、何らかのサービス妨害が引き起こしますが、このフィールドは、マイクロソフトの推定で、重要なサービスに多大な妨害を引き起こす攻撃に使用されます。
なし : 多大なサービス妨害が起こらない攻撃。しかし、ウイルスによるサービス妨害が起こる可能性はあります。
ウイルス アラートの深刻度評価
「緊急」セキュリティアラート:
攻撃が以下の特徴に当てはまる場合、「緊急」レベルのアラートが発行されます。
特徴 | 評価 |
---|---|
マイクロソフト製品の脆弱性の悪用 | あり / 更新プログラムが入手不可 (*) |
感染方法 | 方法 >= 2 |
新たな感染方法 | あり / なし |
感染拡大の可能性 | 高 |
一意なデータの破壊 | あり / なし |
大幅なサービス妨害 | あり |
特徴 | 評価 |
---|---|
マイクロソフト製品の脆弱性の悪用 | あり / なし |
新たな感染方法 | 方法 <= 2 |
感染方法 | あり / なし |
感染拡大の可能性 | 中 / 高 |
一意なデータの破壊 | なし |
大幅なサービス妨害 | なし |
特徴 | 評価 |
---|---|
マイクロソフト製品の脆弱性の悪用 | なし |
感染方法 | 方法 = 1 |
新たな感染方法 | なし |
感染拡大の可能性 | 低 |
一意なデータの破壊 | なし |
大幅なサービス妨害 | なし |