水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRFの評価とCVSS現状値

CSRFの評価とCVSS現状値

2009年12月18日(金曜日)

CSRFの評価とCVSS現状値

公開: 2009年12月19日14時10分頃

Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。

弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。

調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。

現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。

はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。

脆弱性の深刻度評価というのは重要です。新規サービスのリリース前に脆弱性診断が行われる場合、バグだらけでまともに動作しないものを診断しても得られるものは少ないわけですから、完成間近のタイミングで実施されることが多くなります。

普通のプロジェクトでは、サービス完成からリリースまでにテストと修正の期間を十分に設けているから大丈夫です……と言いたいところですが、それはプロジェクトが平穏無事に進行していた場合の話です。進行が遅れて「祭り」とか「修羅場」とか称される状態になっているような場合、報告された脆弱性の全てをリリース前に修正することが難しくなってきます。サービスのリリース時期は経営上の事情によって決まっている事が多く、簡単には動かせません。

そういう場合、「リリースまでに報告された全ての脆弱性を修正することは不可能なので、ひとまず優先度の高いものだけ修正する」という話になります。Amebaなうでも同じような状況で、CSRFへの対応は後回しになっていたのでしょう。

では、一般的にCSRFの深刻度はどの程度と評価されているのでしょうか。情報セキュリティ早期警戒パートナーシップでは、ソフトウェア製品の脆弱性について、CVSS (www.ipa.go.jp)による深刻度評価が行われています。JVN iPediaでCSRFを検索 (jvndb.jvn.jp)してみると、CSRFのCVSS基本値は2.6~9.3とバラバラであることが分かります。

たとえば、「JVNDB-2009-001002 xterm における DECRQSS エスケープシーケンスの処理に関するクロスサイトリクエストフォージェリの脆弱性 (jvndb.jvn.jp)」は、サーバに対して任意のコマンドが実行されるというもので、CVSS基本値は実に9.3(緊急)、きわめて高い危険性があると評価されています。それに対し、「JVNDB-2005-000789 ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性 (jvndb.jvn.jp)」では、CVSS基本値は2.6(注意)です。日記が改竄されても管理者が元に戻せますし、秘密情報が流出することもないためです。

Amebaなうはソフトウェア製品ではないので同列には評価できませんが、CVSS基本値の評価を当てはめてみると、以下のようになるかと思います。

これで計算すると、CVSS基本値は4.3 (jvndb.jvn.jp)となりました。「攻撃条件の複雑さ」を「高」と評価した場合は、2.6となります。これは注意~警告レベルです。他に「緊急」レベルの脆弱性が存在するなら、そちらのほうが優先度が高くてしかるべきでしょう。

ただし、CVSSには「基本値」以外に「現状値」「環境値」という評価基準が用意されています。現状値には「攻撃される可能性 (Exploitability)」という評価があり、攻撃コードが公開されたりすればスコアが高くなります。現状値が変化したために深刻度の総合評価が変化するのは当然で、「昨今の事情を鑑み、影響の大きな部分については優先度を最上級」という対応は妥当でしょう。

※でも、発表がとても分かりにくいです。

関連する話題: セキュリティ / CSRF

最近の日記

関わった本など