脆弱性

脆弱性（ぜいじゃくせい、英: vulnerability）とは、情報セキュリティ・サイバーセキュリティの用語で、コンピュータに存在する情報セキュリティ上の欠陥をいう。セキュリティホールとも呼ばれる^[1]。

ISO 27000における定義

ISO 27000およびそれと同等なJIS Q 27000（ISMSの用語を規定）では脆弱性を

一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点^[2]

とより厳密に定義している。

ここで

脅威（threat）とは「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」^[3]
- （情報セキュリティ）インシデントとは「望まない単独若しくは一連の情報セキュリティ事象，又は予期しない単独若しくは一連の情報セキュリティ事象であって，事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの」^[4]
管理策(control)とは「リスクを修正する対策」^[5]
- リスクとは「目的に対する不確かさの影響」^[6]

CAPECにおける脆弱性の分類

Mitre社のCAPECでは攻撃パターンによって脆弱性をツリー状に分類しており、その最上位の分類は以下のものである^[7]：


分類	分類（邦訳）	概要
Engage in Deceptive Interactions^[7]	欺いたやりとりに従事する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン^[8]
Abuse Existing Functionality^[7]	既存の機能を悪用する	「悪事を達成する為、もしくは標的となる機能が影響を受けるほどにリソースを枯渇させる為、アプリケーションの１つ以上の機能を使ったり操ったり」^[9]する攻撃パターン
Manipulate Data Structures^[7]	データ構造を操る	「システムのデータ構造の本来意図された使用方法や防御機構に違反するために、そのデータ構造の特徴を操ったり悪用したりする」^[10]攻撃パターン
Manipulate System Resources^[7]	システムリソースを操る	「攻撃者が望む結果を得るために、１つ以上のリソースを操る」^[11]攻撃パターン
Inject Unexpected Items^[7]	予想外のものを挿入する	「入力インターフェースから細工されたデータを挿入するか、あるいはターゲットのシステムに悪意のあるコードをインストールして実行するかして、標的の行動をコントロールするか邪魔するかする」^[12]攻撃パターン
Employ Probabilistic Techniques^[7]	確率的手法を採用する	「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン^[8]
Manipulate Timing and State^[7]	タイミングや状態を操作する	「標的のコードやプロセスの実行フローの防御を回避した行動を取るために、関数の状態や呼び出しタイミングの弱点を利用する」^[13]攻撃パターン
Collect and Analyze Information^[7]	情報を収集し、分析する	「情報の収集と窃取に関する」^[14]攻撃パターン
Subvert Access Control^[7]	アクセスコントロールの破壊	「識別、認証、およびリソースへのアクセスや機能認可の管理に用いているメカニズムの弱点、制限、ないし仮定を能動的に悪用する」^[15]攻撃パターン

脚注

[脚注の使い方]

注釈

出典

^ “脆弱性（ぜいじゃくせい）とは？｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト”. www.soumu.go.jp. 2020年9月19日閲覧。
^ JIS Q 27000:2014 箇条 2.89。
^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
^ JIS Q 27000:2014 箇条 2.36
^ JIS Q 27000:2014 箇条 2.16。
^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “CAPEC-1000: Mechanisms of Attack”. 2018年11月30日閲覧。
^ ^a ^b “CAPEC-156: Engage in Deceptive Interactions”. 2018年11月30日閲覧。
^ “CAPEC-210: Abuse Existing Functionality”. 2018年11月30日閲覧。
^ “CAPEC-255: Manipulate Data Structures”. 2018年11月30日閲覧。
^ “CAPEC-262: Manipulate System Resources”. 2018年11月30日閲覧。
^ “CAPEC-152: Inject Unexpected Items”. 2018年11月30日閲覧。
^ “CAPEC-172: Manipulate Timing and State”. 2018年12月3日閲覧。
^ “CAPEC-118: Collect and Analyze Information”. 2018年12月3日閲覧。
^ “CAPEC-225: Subvert Access Control”. 2018年12月3日閲覧。

外部リンク

ISMS関連のISO/IECとJIS
- “JIS検索”. 日本工業標準調査会 JISC（Japanese Industrial Standards Committee）. 2016年8月10日閲覧。 JIS本文を閲覧可能
“CAPEC Common Attack Pattern Enumeration and Classification. A Common Resource for Identifying and Understanding Attacks”. Mitre. 2018年12月3日閲覧。
“Welcome To The Web Application Security Consortium Project page”. 2018年12月10日閲覧。
- “WASC THREAD CLASSIFICATION version 2.0.0” (PDF). 2018年12月10日閲覧。
- “Web Security Consortium: 脅威の分類 version 1.0.0” (PDF). 2018年12月10日閲覧。

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] “脆弱性（ぜいじゃくせい）とは？｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト”. www.soumu.go.jp. 2020年9月19日閲覧。

[2] JIS Q 27000:2014 箇条 2.89。

[3] JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。

[4] JIS Q 27000:2014 箇条 2.36

[5] JIS Q 27000:2014 箇条 2.16。

[6] JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。

[:0-7] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “CAPEC-1000: Mechanisms of Attack”. 2018年11月30日閲覧。

[:1-8] “CAPEC-156: Engage in Deceptive Interactions”. 2018年11月30日閲覧。

[9] “CAPEC-210: Abuse Existing Functionality”. 2018年11月30日閲覧。

[10] “CAPEC-255: Manipulate Data Structures”. 2018年11月30日閲覧。

[11] “CAPEC-262: Manipulate System Resources”. 2018年11月30日閲覧。

[12] “CAPEC-152: Inject Unexpected Items”. 2018年11月30日閲覧。

[13] “CAPEC-172: Manipulate Timing and State”. 2018年12月3日閲覧。

[14] “CAPEC-118: Collect and Analyze Information”. 2018年12月3日閲覧。

[15] “CAPEC-225: Subvert Access Control”. 2018年12月3日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）

ISO 27000における定義

CAPECにおける脆弱性の分類

脚注

注釈

出典

関連項目

外部リンク