Japan Vulnerability Notes / 脆弱性レポートの読み方

脆弱性レポートの読み方

公開日:YYYY/MM/DD

脆弱性情報を JVN において公開した日付 (日本時間) です。同じ脆弱性について、ベンダ (製品開発者) や US-CERT、CERT/CC、CPNI などから情報が公開されていても、公開日は一致しないことがあります。必要に応じてベンダ情報などを確認してください。

最終更新日:YYYY/MM/DD

最後に脆弱性情報に関する更新を行った日付 (日本時間) です。それまでの更新については更新履歴に記載しています。

脆弱性識別番号

脆弱性識別番号は、脆弱性情報を特定するために割り振られる一意な番号です。運用開始当初、JVN では、脆弱性情報の提供元の番号体系に基づいて 6種類の番号体系を使用していました。これを 2012年12月3日に再編し、よりシンプルな番号体系に変更しました。この新しい番号体系では「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表された脆弱性情報には JVN# で始まる 8桁の番号 (例:JVN#12345678)、それ以外の海外調整機関や海外製品開発者との連携案件などには JVNVU# で始まる 8桁の番号 (例:JVNVU#12345678)、調整有無に関わらず必要に応じて JPCERT/CC が発行する注意喚起には、JVNTA# から始まる 8桁の番号 (例:JVNTA#12345678) を割り当てています。新番号と旧番号との対照関係については、次の表をご参照ください。

新旧脆弱性識別番号対照表
新番号体系 旧番号体系 説明
JVN#12345678 JVN#12345678 「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情報
JVNVU#12345678 JVNVU#123456 CERT/CC (米) 主導で調整・公表した脆弱性情報
JVNCA-1234-56 CERT/CC (米) 主導で調整・公表した旧形式の脆弱性情報
NISCC-123456 NISCC (現CPNI:英) 主導で調整・公表した脆弱性情報
CPNI-123456 CPNI (英) 主導で調整・公表した脆弱性情報
(該当無し) 上記以外の主に海外の発見者、開発者、調整機関などから連絡を受け、JPCERT/CC が調整・公表した脆弱性情報
JVNTA#12345678 JVNTA12-345A US-CERTが公表した注意喚起情報
(該当無し) 調整有無に関わらず、必要に応じて JPCERT/CC が公表する注意喚起情報

緊急

通常の脆弱性レポートとは異なり、製品利用者が当該脆弱性の対策を導入する優先順位を決めるにあたって重要な判断要素となる補足情報 (当該脆弱性を使った攻撃がすでに観測されているなど) を掲載している場合はトップページの新着リストおよび脆弱性レポートの両方に「緊急」と表示します。「緊急」が表示された製品をご利用の場合には、その脆弱性情報について早急にご確認の上、対策導入のタイミングについてご検討いただく事を推奨します。

なお、この表示はあくまでも目安であることに留意してください。影響を受けるシステム (製品) が実際に攻撃されたときの脅威 (深刻度) は、システム (製品) のおかれている環境やそれが担うビジネス上の重要度などにより変化します。緊急に対策を講じる必要があるかどうかの判断は、脆弱性レポートの詳細を理解した上で、各組織において個別に判断することが重要です。

概要

脆弱性の概要を記述します。この情報の続きを読むべきかどうかの判断ポイントとしてご利用いただくことを想定した、いわゆるエグゼクティブサマリです。

影響を受けるシステム

影響を受けるシステムや製品、ライブラリなどの名称やそのバージョン番号などを列挙します。

詳細情報

この脆弱性に関する詳細な情報を記述する項目です。

想定される影響

脆弱性が悪用された場合、影響を受ける製品のユーザに対してどのような被害が想定されるかを記述します。

対策方法

脆弱性への対策方法を記載します。

対策情報には「解決策」と「回避策」があります。
「解決策」は、ベンダ (製品開発者) が公開するパッチを適用したりアップデート版を使用したりすることで、脆弱性自体を解決するものです。
「回避策」は、脆弱性自体を解決するものではありませんが、脆弱性が悪用された場合の影響を緩和する手段として有効と考えられるものです。回避策はワークアラウンドとも呼ばれます。

ベンダ情報

1. ベンダ情報とは

脆弱性情報に対するベンダ (製品開発者) の公開情報を記述する項目です。

「情報セキュリティ早期警戒パートナーシップ」に参加しているベンダ (製品開発者)から提供された情報は、次のように掲載されます。

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
XXX株式会社 該当製品あり 2000/01/01 XXX株式会社 の告知ページ

次のような形式で、当該脆弱性に関するベンダの公開情報へのリンクを掲載する場合もあります。

ベンダ リンク
XXX株式会社 YYYY の脆弱性に対するアップデート

2. ステータス

ベンダ情報の「ステータス」の表現には、次の 5種類が存在します

ステータスの種類 内容
該当製品あり 製品開発者による調査の結果、脆弱性該当製品がある
該当製品あり(調査中) 製品開発者による調査の結果、脆弱性情報公表時点で脆弱性該当製品があり、継続して調査を行っている
該当製品なし 製品開発者による調査の結果、脆弱性該当製品がない
該当製品なし(調査中) 製品開発者による調査の結果、公表時点で脆弱性該当製品は見つかっていないが、継続して調査を行っている
脆弱性情報提供済み 調整機関から脆弱性情報の提供をしている

「ステータス」欄の文字列は、ベンダから提供された情報の専用ページへリンクされています。

3. ベンダの告知ページ

「ベンダの告知ページ」欄には、当該脆弱性に関してベンダの自社サイトで公開しているアドバイザリ等がある場合に、そのページへのリンクを掲載しています。

参考情報

他 CSIRT 組織やセキュリティベンダ等が公開する文書へのリンクを記載します。

JPCERT/CCからの補足情報

JPCERT/CC がハンドリングの過程で把握している付加的情報を記載します。

JPCERT/CCによる脆弱性分析結果

1. 「JPCERT/CCによる脆弱性分析結果」とは

JPCERT/CC による脆弱性分析結果をもとに、脆弱性の脅威を判断するための情報を公開しています。
JVN では、CVSS v3 および CVSS v2 の Base Score を用いて脆弱性を評価しています。

Javascript が有効な場合、それぞれの表は折りたたまれています。表を見るには、各評価をクリックしてください。

CVSS v2 については 共通脆弱性評価システムCVSS概説 を、CVSS v3 については 共通脆弱性評価システムCVSS v3概説 をご参考下さい。

2. 表示例

JPCERT/CC による脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
基本値: 10.0
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:H/Au:N/C:P/I:N/A:N
基本値: 2.6
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

分析結果のコメントがある場合、ここに記載されます。


旧 "JPCERT/CC による分析結果" の表示例


謝辞

脆弱性を発見した個人または組織の名前を掲載する項目です。この項目は、発見者が脆弱性届出様式の「対策情報公表時の謝辞への届出者名の記載について」において、JVN で「記載しても良い」を選択した場合に掲載されます。

関連文書

同一の脆弱性に関して他組織で公表されている情報のうち、 JPCERT/CC の注意喚起情報、米国 US-CERT、CERT/CC および英国 CPNI (NISCC) などが公開している情報へのリンクを掲載します。

2024年10月以降、関連文書セクションに掲載する CVE は、原則として JPCERT/CC が採番した CVE のみとしています。

更新履歴

脆弱性情報を更新した日付 (日本時間) と更新内容を列挙します。

注意事項

2007年4月のリニューアルにより、詳細情報、対策方法、JPCERT/CCからの補足情報、JPCERT/CCによる脆弱性分析結果の項目を追加しました。2007年4月25日より前に公開していた脆弱性レポートについては、これらの項目が空欄になっている場合があります。