図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

セキュリティ対策

脆弱性に関する識別子や略語およびそれらの関係

投稿日:

JPCERT/CCやUS-CERTやベンダーのサイトで脆弱性に関する情報を読んでいると様々な識別子や略語が登場します。ここではそれらの識別子や略語に関して説明します。

マイクロソフトのKB番号とMS番号

マイクロソフトがリリースするセキュリティ情報やパッチ情報にKB4013389やMS17-012のような番号が付いたものを見つけることができます。KBとはMicrosoft Knowledge Baseの事でマイクロソフトのサポート技術情報に対して番号を振ったものを言います。MSの方はセキュリティ更新プログラムに紐づいています。MS17-012の17は2017年にリリースされたセキュリティ更新プログラムであることを意味しており、012はその年に12番目にリリースされた事を意味しています。

AdobeのAPSB

AdobeにもマイクロソフトのようにアップデートにはAPSBという番号が割り振られています。APSBはAdobe Security Bulletinの略ですが、Pが何を指しているのかは不明ですが、多分Adobe Product Security Bulletinではないでしょうか?APSBもマイクロソフトのMS番号と似ており、APSB17-07のように17が年度を表し、07がその年にリリースされた順番という形式となっています。

JVNの脆弱性識別番号

JVNとはJapan Vulnerability Notesの略でJPCERT/CCとIPAが運用している日本での脆弱性管理の仕組みです。JVNの脆弱性識別番号には3つの種類があります。

  • JVN#: 情報セキュリティ早期警戒パートナーシップに基づいて、調整・公表される脆弱性情報。
  • JVNVU#: 海外調整機関や海外製品開発者との連携によって公表される脆弱性情報。
  • JVNTA#: 調整の有無に関わらず必要に応じて公表される脆弱性情報。

US-CERT Technical Cyber Security Alert

US-CERTがリリースしているセキュリティ情報で、TA17-075Aのような識別子が付けられています。TAの次の数字は年を表しており、その次の075は1月1日から数えて75日目にりリリースされた情報であることを指しています。その次のアルファベットは、その日に最初にリリースされた情報はA、その日に別の情報がリリースされるとB、C、Dのように割り当てます。

CVE識別番号

CVEとはCommon Vulnerability and Exposuresの略で、日本語では共通脆弱性識別番号と言います。CVEはMITREという非営利団体が管理しており、US-CERTやベンダーなどと連携して脆弱性情報を収集管理し、その脆弱性に対してCVE識別番号を付与して公開しています。CVEは「CVE-2017-0007」のように年と連番によって採番されています。

CVE識別番号、JVNのIDおよびベンダーのパッチ番号の関連

それでは、それぞれの脆弱性情報の関連性を見てみましょう。例えば、MicrosoftのSMBに関する脆弱性の場合、その脆弱性のCVE識別子はCVE-2017-0007となります。その情報を基にJVNが日本用に情報を公開したものがJVNVU#95841181となります。またその脆弱性に基づいてリリースしたセキュリティ更新プログラム(セキュリティパッチ)がMS17-012という事になります。

脆弱性情報 CVE識別番号 JVNのID ベンダーの対応するパッチ情報
MicrosoftのSchannelにおける任意のコードを実行される脆弱性 CVE-2017-0007 JVNVU#95841181 MS17-012

広告

広告

-セキュリティ対策

関連記事

脆弱性情報の収集(OSINT)

脆弱性情報の入手(日本) 脆弱性の情報は様々な組織・機関・ベンダーのサイトから入手することができますが、以下の点に注意して情報を入手するサイトを選ぶ必要があります。 信頼のおける情報かどうか? 最新の …

セキュリティコンサルがやっているWordPressですべき3つのセキュリティ対策

WordPressはどのバージョンにも必ず脆弱性が存在しており、その脆弱性が発見される度にWordPressの開発者が新しいバージョンを開発して提供しています。最近ではWordPressの脆弱性を悪用 …

アメリカンエクスプレスが購入時のサイン不要に

アメックスは、店舗でクレジットカードで購入する際に顧客に求めていたサインの記入を2018年4月から廃止するとのことです。アメックスでは既にアメリカで50ドル未満の買い物についてはサインを要求していませ …