Skip to main content
評価してください: 

 

Microsoft Exploitability Index (悪用可能性指標)

公開日: 2008 年 10 月 10 日 | 更新日: 2014 年 8 月 13 日

Microsoft Exploitability Index (悪用可能性指標) は、マイクロソフトのセキュリティ更新プログラムが解決する脆弱性が悪用される可能性に関する情報を提供することにより、お客様がマイクロソフトのセキュリティ更新プログラム適用の優先順位を決定する手助けをします。

マイクロソフトが Exploitability Index を開発した理由

マイクロソフトは、より詳細なリスク評価のための追加情報に対するお客様からのご要望に対応して、Exploitability Index を開発しました。

Exploitability Index の内容

マイクロソフトはセキュリティ更新プログラムに関連する、深刻度が重要、もしくは緊急の、それぞれの脆弱性が悪用される攻撃の可能性について評価しています。それを踏まえて、月例のセキュリティ情報のサマリの一部として悪用の情報を公開します。セキュリティ情報の概要を公開後に、Exploitability Index の評価の変更が必要であると判断した場合、マイクロソフトはセキュリティ情報の概要での評価を変更し、 技術的なセキュリティ通知によりお客様にお知らせします。マイクロソフトは、既存の悪用可能性の情報に一致する悪用コードが公開された時点では、セキュリティ情報の概要での評価を更新しません。

この悪用可能性の情報には次の内容が含まれています。

  • セキュリティ情報 ID
  • セキュリティ情報のタイトル
  • 特定の脆弱性に関連する CVE の識別番号
  • 最新のソフトウェア リリースに関するコード実行の悪用可能性の評価
  • 以前のソフトウェア リリースに関するコード実行の悪用可能性の総評価
  • サービス拒否の可能性についての説明および
  • 重要な注意

「最新のソフトウェア リリース」とは、常に、セキュリティ情報の「影響を受けるソフトウェア」および「影響を受けないソフトウェア」の表に記載されているアプリケーションまたはプラットフォームの最新のバージョンと定義されます。「以前のソフトウェア リリース」については、セキュリティ情報の「影響を受けるソフトウェア」の表に記載しているすべてのその他のサポートされているリリースに関連する最も深刻な評価です。

たとえば、2014 年 8 月のセキュリティ更新プログラムで解決された脆弱性の悪用可能性の評価は次の通りです。

セキュリティ情報ID脆弱性のタイトルCVEの識別番号最新のソフトウェアリリースに関するExploitability(悪用可能性)の評価旧バージョンのソフトウェアリリースに関するExploitability(悪用可能性)の評価サービス拒否の悪用可能性の評価注意事項
MS14-xxx脆弱性CVE-2014-xxxx2 - 悪用される可能性は低い1 - 悪用される可能性が高い一時的 


複数の製品のシリーズが影響を受けるシナリオ (例えば Windows および Office の両方に影響を及ぼす脆弱性など) では、「最新のソフトウェアのリリース」の深刻度は、両方の製品のうち高い方のリスク レベルを反映した評価になります。この場合、最新バージョンの Office に関する悪用可能性の評価は、「1」で、最新バージョンの Windows が「2」であるため、評価は「1」になります。

どちらの場合でも、Exploitability Index (悪用可能性指標) はマイクロソフト セキュリティ情報で解決している脆弱性を基に、4 段階の評価方法のうちのひとつを使用して、お客様に脆弱性の悪用の可能性をお伝えします。2014 年 8 月 以降、マイクロソフトは脆弱性が悪用される実際のリスクがお客様にわかりやすくするために、表現を変更しました。

Exploitability Indexの評価簡単な定義
0悪用を確認済み
1悪用される可能性が高い*
2悪用される可能性は低い**
3悪用される可能性は非常に低い***
* 以前の定義: 悪用コードの可能性
** 以前の定義: 悪用コードの作成困難
*** 以前の定義: 悪用コードの可能性低


0 - 悪用を確認済み

この評価は、マイクロソフトがこの脆弱性が悪用された実例を認識していることを意味します。以上のことから、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、最も高い優先度となります。

1 - 悪用される可能性が高い

この評価は、マイクロソフトの解析では、悪用コードが作成されて攻撃者が安定的にこの脆弱性を悪用する可能性があることを意味します。マイクロソフトは、この種の脆弱性が悪用された過去の実例を認識しています。攻撃者にとっては、興味を引く対象であるため、悪用コードが作成される可能性が高くなります。以上のことから、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より高い優先度となります。

2 - 悪用される可能性は低い

この評価は、マイクロソフトの解析では悪用コードが作成される可能性があるものの、該当する製品を標的とした場合に、専門性および/または、精緻なタイミング、さらに (または) 多様な変化を要するため、攻撃者によるコードの作成が困難であることを意味します。さらに、マイクロソフトは、この種の脆弱性が、実際の現場で積極的に悪用され、蔓延するのを最近は確認していません。そのため、攻撃対象としてあまり攻撃者の興味を引くことはないと考えられます。しかしながら、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、この更新プログラムを重要な更新プログラムとして扱うべきです。より緊急性の高い別の脆弱性と比較した場合に、この更新プログラムを適用する優先度は低くなる可能性があります。

3 - 悪用される可能性は非常に低い

この評価は、マイクロソフトの解析では、機能する悪用コードが実際の攻撃で利用される可能性が低いという意味です。つまり、脆弱性が悪用され、異常な動作を引き起こすコードが公開される可能性はあるものの、悪用の全体への影響は限定的です。さらに、マイクロソフトはこの種の脆弱性が過去に積極的に悪用された実例を確認していません。そのため、この脆弱性の悪用による実際のリスクは極めて低いと考えます。したがって、お客様がセキュリティ情報を確認し、お使いの環境への適用性を判断する場合、他の公開された脆弱性よりもこの更新プログラムの優先度は低くなる可能性があります。

サービス拒否の悪用可能性の評価は、次のいずれかになります。

サービス拒否の悪用可能性の評価定義
一時的この脆弱性が悪用されると、攻撃が停止される、または想定外に停止して、自動的に回復するまでオペレーティング システムまたはアプリケーションが一時的に応答しなくなる可能性があります。攻撃が終了するとすぐに、標的の機能性が通常レベルに戻ります
永続的この脆弱性が悪用されると、手動で再起動する、または自動的に回復せずに想定外に停止するまで、オペレーティング システムまたはアプリケーションが永続的に応答しなくなる可能性があります。

脆弱性によりサービス拒否が継続される場合、管理者がシステム全体またはシステムの一部を起動、再起動または再インストールすることが必要になります。すべてのシステムを自動で再起動させる脆弱性は、永続的なサービス拒否 (DoS) であると考えられることにも注意してください。また通常、Microsoft Office リリースなど、対話的に使用する目的があるクライアント アプリケーションは、サービス拒否の悪用可能性は評価しません。

注意事項のセクション

表で示される注意事項には、特定の製品やオペレーティング システムにより悪用の可能性が異なるかどうかの追加情報と、特定の脆弱性が悪用される可能性に関して重要な情報が含まれています。たとえば、この項目に含まれる Windows Vista などのテキストは、他のオペレーティング システムよりもリスクが高くなっており、このため、お客様がオペレーティング システムまたは製品のバージョンによって優先度を決める場合は、この点を考慮してください。

重要な用語および定義

悪用コード - 脆弱性のあるシステムに対して実行された場合、別人になりすまして攻撃者の身元を隠す、ユーザー情報またはシステム情報を改ざんする、攻撃者の行為への関与を打ち消す、サーバー側のユーザー情報またはシステム情報を漏洩する、正当なユーザーに対してサービスを拒否する、または攻撃者の特権を昇格するために脆弱性を悪用するソフトウェア プログラムまたはサンプル コードを意味します。 たとえば、もしある脆弱性に、リモートでコードが実行されるセキュリティ上の影響があり、悪用コードが標的のシステムに対して実行された場合、リモートでのコードの実行を引き起こす原因となる可能性があります。

脆弱性を誘発 - 脆弱性のあるコードにアクセスできるものの、常に最大の影響に到達するような悪用はできないことを意味します。たとえば、リモートでコードが実行される脆弱性を誘発することは簡単にできても、結果的にはサービス拒否のみで終わる場合があります。

Exploitability Index に関するよく寄せられる質問 (FAQ)

Q: Microsoft Exploitability Index (悪用可能性指標) とは何ですか?

A: Microsoft Exploitability Index (悪用可能性指標) は、お客様が毎月のマイクロソフト セキュリティ更新プログラム適用の優先順位を決定する手助けとなる詳細情報を提供するためのものです。マイクロソフトは、この指標を、マイクロソフトのセキュリティ情報で解決している各脆弱性を基に、悪用の可能性に関するガイダンスをお客様に提供するために作成しました。

Q: マイクロソフトが Exploitability Index を開発した理由は何ですか?

A: お客様から、毎月公開しているマイクロソフトのセキュリティ更新プログラムを適用する際の優先順位の決定に役立つ情報、特にセキュリティ情報で解決している脆弱性に対する悪用コード実行の可能性に関する情報提供の要望を受けました。マイクロソフトは Web キャストやお客様からのお問い合わせへの応対を通じて、セキュリティ更新プログラムの公開時に既知の悪用コードまたは攻撃の詳細に関する情報提供のご要望に回答していました。Exploitability Index は、それよりも多くの情報を提供し、セキュリティ情報のリリース時に、脆弱性の悪用による実際のリスクに関するガイダンスをお知らせします。

Q: 脆弱性はどのように評価されますか?

A: Microsoft Exploitability Index (悪用可能性指標) は、評価を作成するために脆弱性の 2 つの側面に着目しています:

  1. 特定の製品における、特定の種類の脆弱性に関する測定データ、および悪用の認識に基づく、現在の悪用トレンド。
  2. 脆弱性の技術的な分析に基づく、脆弱性に使用される悪用の作成にかかる費用、および確実性。

Q: これは本当に信頼できる評価システムですか?

A:セキュリティ エコシステム内での活動を予測することは常に困難である一方、このシステムを役に立つと見なせる理由が 3 つあります。

まず、過去数年にわたりマイクロソフトは、マイクロソフトのセキュリティ情報が公開されたその日に、防御策を作成および評価するために多くのセキュリティ リサーチャーがセキュリティ情報に関連する更新プログラムを分析するのを見てきました。このような分析を行う際、リサーチャーの多くもまた、このことをテストするために悪用コードを作成しています。この悪用コードを開発するために使用されている方法論は、マイクロソフトが悪用コードの公開の可能性を判断するために使用している方法論と類似しています。マイクロソフトでは、更新プログラム自体、脆弱性の本質、および悪用コードの実行を成功させるために必要となる条件を分析しています。

次に、マイクロソフトのセキュリティ更新プログラムにより解決されるすべての脆弱性が悪用されるわけではありません。脆弱性は、技術的に見れば、高い確率で、確実に悪用可能であるかもしれませんが、実際に悪用されません。実際、2006 年および 2007 年のマイクロソフト セキュリティ情報で解決された脆弱性のうち、機能する悪用コードが公開された脆弱性は 30% だけでした。現在の流行に追いついていくために、継続して悪用活動を監視、そして追跡しています。これは、何が、類似の脆弱性よりも、より興味をそそる脆弱性を作り上げているのかに対する私たちの考えをお伝えし、パッチを適用する脆弱性の潜在的なリスクよりも、実際のリスクにより的確に対応できるようになります。

最後に、私たちは Microsoft Active Protections Program (MAPP) を通して保護プロバイダーとパートナー関係を結んでおり、協力して毎月のマイクロソフトの予測を検証しています。これにより、情報共有を通して、より高い正確性を確保するための方法としてコミュニティのアプローチを使用しています。

Q: 悪用可能性指標は、Microsoft Security Response Center (MSRC) のセキュリティ情報の深刻度評価システムと、どう異なりますか?

A: MSRC セキュリティ情報の重大度評価システムは、悪用が成功することを前提としています。悪用の可能性が高い一部の脆弱性については、この前提は多くの攻撃者に当てはまる場合が多いと考えられます。悪用の可能性が低いその他の脆弱性については、この前提は執拗な攻撃者が攻撃を成功させるために多くのリソースを費やした場合にのみ、当てはまると考えられます。マイクロソフトでは、セキュリティ情報の重大度または Exploitability Index の評価にかかわらず常に、すべての適用可能および利用可能な更新プログラムを適用することを推奨していますが、この評価情報は、技術的に高度なお客様が毎月の更新プログラムの公開に対するアプローチに優先順位を付ける際に役立ちます。

Q: サービス拒否、改ざん、情報漏えい、またはなりすましの問題は、どのように評価されますか?

A: 悪用可能性指標は、脆弱性の種類で区別しません。全体影響度の可能性の範囲内で、各脆弱性が悪用される可能性に着目しています。ですから、リモートコードの実行、改ざん、あるいはその他のいずれの脆弱性であっても、悪用可能性指標の、いずれにも評価される可能性があります。

Q: 新しい情報に対して、悪用可能性指標 の更新が必要な場合はどうしますか?

A: 脆弱性の悪用可能性の評価は、発展途中の科学であり、悪用全般に関する新しい技術またはある脆弱性に固有の技術の発見、または、特定の製品で確認済みの悪用における新しいトレンドであり、それが 悪用可能性指標の 評価に変更をもたらす場合があります。しかし、Exploitability Index の目標はお客様が最新の月例の更新プログラムの優先順位を決定するのを支援することです。したがって、セキュリティ公開の最初の月に公開された評価を変更する情報があった場合、MSRC は Exploitability Index を更新します。情報が以降の月に利用可能となった場合で、それがほとんどのお客様が優先順位を決定した後である場合には、Exploitability Index は更新しません。理由は、この場合はお客様にとって有益ではないためです。お客様のリスクの増加を反映して Exploitability Index が修正された場合、セキュリティ情報、サマリの更新のバージョン番号の値が増えます (例:1.0 から 2.0)。リスクが下方修正された場合は、セキュリティ情報サマリの更新版の、マイナー バージョン番号の値が増えます (例: 1.0 から 1.1)。

Q: Exploitability Index は Common Vulnerability Scoring System (CVSS) およびその他の評価システムとどのような関連がありますか?

A:Exploitability Index はその他の評価システムとは別のもので、関連はありません。しかし、Microsoft Research Center (MSRC) は共通脆弱性評価システム (CVSS) の賛助会員であり、CVSS が効果的で実用的なものとなるように、マイクロソフトは Exploitability Index の作成および公開についての経験とお客様からのフィードバックを作業グループと共有しています。

 

関連リンク