インテリジェンスを活用する 101
概要
サイバーセキュリティには専門用語が多く含まれています。用語は直感的に理解できる場合もありますが、その使い方や意味の境界線は直感的でない場合や解釈の余地がある場合があります。
VulnCheckでは、以下に用語集を提供し、サービスの重要な領域での用語の使用方法を定義および説明しています。
アクティブなC2サーバー
アクティブなC2サーバーとは、コマンド&コントロール(C2)に使用される、アクティブに応答する最近検出された攻撃者インフラストラクチャを指します。
高度な持続的脅威(APT)
名前(例:「Comment Crew」)やユニークな識別子(例:MITRE識別子「G0006」やMISP識別子「1cb7e1cc-d695-42b1-92f4-fd0112a3c9be」)を持つことが多い脅威アクターの一種。
攻撃者インフラストラクチャ
攻撃者が攻撃を実行し、アクセスを維持するために使用するさまざまなソフトウェアコンポーネントを指します。例として、C2サーバー、中継、プロキシなどがあります。
ボットネット
共通の攻撃者に感染し制御されているコンピュータの集合。
コマンド&コントロール(C2またはC&C)インフラストラクチャ
通常は事前に侵害されたインフラストラクチャ(サーバーやアプリケーション)で構成される攻撃者のネットワークインフラストラクチャで、下流インフラストラクチャを指示および制御するために使用されます。
共通脆弱性識別子(CVE)
共通脆弱性スコアリング システム (CVSS)
ソフトウェアの脆弱性の重大度を評価するための標準であり、脆弱性の特性に基づいて 0.0 ~ 10.0 のスコアが割り当てられます。
サイバーセキュリティ供給連鎖リスク管理(C-SCRM)
NIST SP 800-161で定義される「供給連鎖を通じてサイバーセキュリティリスクへの露出を管理し、適切な対応戦略、ポリシー、プロセス、手順を開発するための体系的なプロセス」。そのプロセスの1つとして、ソフトウェア製品のSBOM(ソフトウェア部品表)を生成し、得られたデータをセキュリティ分析し、発見された脆弱性を修正し、修正が実施されたことを確認するためにこれらのステップを繰り返すことが挙げられます。
CycloneDX
OWASPが開発したBOM(部品表)標準で、ソフトウェア、ハードウェア、機械学習、運用、その他のBOMタイプを含むことができるほか、VDRやVEXデータなどの追加情報を含むことができます。システムコンポーネントの内容や関係を理解するのに役立ちます。シリアル化形式にはJSONおよびXMLが含まれます。
依存関係グラフ
特定のパッケージまたはソフトウェアコンポーネントのソフトウェア依存関係の階層を表すグラフ。
エクスプロイト可用性
エクスプロイトが公開されているか、市販されているか、または非公開で利用可能であると報告されているかを示すフィールド。
エクスプロイトチェーン
2つ以上の脆弱性を組み合わせて使用することで、それぞれの脆弱性を個別に悪用した場合よりもターゲットへのアクセスを拡大する手法。
エクスプロイトインテリジェンス
エクスプロイト成熟度
特定のエクスプロイトの成熟度を区別するためのフィールド。値は「公開されたエクスプロイトなし」から「概念実証(PoC)」、さらには「武器化されたエクスプロイト」までの範囲があります。
エクスプロイト概念実証(PoC)
脆弱性をトリガーすることを実証するためのもので、多くのターゲットに対しては機能しない可能性が高い単発のエクスプロイト。
インプラント
永続性、ファイルやプロセスの隠蔽、ネットワーク通信の難読化などの高度な機能を提供する悪意あるソフトウェア。
初期アクセスエクスプロイト
ターゲットに対してリモートコード実行を示す概念実証エクスプロイト。
初期アクセス脆弱性
リモートで悪用され、コード実行を引き起こす可能性のある脆弱性。リモートコード実行脆弱性は、ネットワーク越しのアプリケーション経由で悪用されるものから、クライアント側で悪用されるものに範囲が広がっています。
IPフィンガープリント
IPv4およびIPv6ネットワーク上でC2インフラストラクチャを検出する方法。
名付けられた脅威アクター
名前または識別子を持つ特定の脅威アクター。例:高度な持続的脅威(APT)。これは、一般的な野生環境での悪用報告とは区別されます。
オープンディレクトリ
HTTPサーバーがディレクトリリスティングを許可するように構成されており、攻撃者がマルウェアをホストするために使用することがあります。
パッケージURL(purl)
ソフトウェアパッケージ、そのバージョン、およびそれが取得された場所をエンコードする方法(例:「pkg:pypi/aioxmpp@0.6.0」)。
プロキシ
2台以上のコンピュータ間の仲介役として機能するコンピュータ。
潜在的に脆弱なサーバー
既知の脆弱性に対して潜在的に脆弱である兆候を示すサーバーまたはネットワーク対応アプリケーション。ただし、直接対話すると実際には脆弱でない場合もあります。
中継(リダイレクタ)
中継はリダイレクタとも呼ばれ、攻撃者のC2インフラストラクチャの前に配置されるプロキシであり、C2通信の終了場所を隠すために使用されます。
リモートコード実行(RCE)エクスプロイト
ターゲットに対するリモートコード実行を示す概念実証エクスプロイト。
リモートコード実行(RCE)脆弱性
リモートで悪用され、コード実行を引き起こす可能性のある脆弱性。もともとは、ネットワーク越しにポートにバインドされたアプリケーションを介して悪用される脆弱性を指していましたが、時間の経過とともに、クライアント側で悪用される脆弱性も含まれるようになりました。
野生環境で悪用されていると報告された(ITW)
以下の例の条件の1つ以上が該当する場合にtrueと設定されるブール値:CISAアラートが脆弱性に関する野生環境での悪用報告とともに発行された場合、Google Project Zeroの0day In-The-Wild(ITW)リストが野生環境での悪用を報告している場合、または特定の脅威アクターが野生環境でその脆弱性を悪用していると公に報告されている場合。
脅威アクターによる悪用報告
特定の脅威アクターが、業界の出版物で特定の脆弱性を野生環境で悪用していると報告された場合にtrueと設定されるブール値。
セキュアソフトウェア開発ライフサイクル(SSDLC)
全体的なソフトウェア開発ライフサイクル(SDLC)の一部として、安全なソフトウェアを開発するための方法とプロセスのセット。これには、開発されたソフトウェアを反復的にスキャンしてセキュリティ脆弱性を検出し、それを修正し、修正が実際に行われたことを確認するためのスキャンを含むがこれに限定されません。
ソフトウェア識別(SWID)タグ
ISO/IEC 19770-2公開標準で定義されたソフトウェア製品を説明するための構造化されたメタデータ形式。資産および情報セキュリティ管理を支援するために利用されます。タグの種類には、ソフトウェアライフサイクルの特定の状態を表すものがあり、これに応じて異なる情報を提供します。一般的な情報には、製品名、バージョン、および(プロキシ)タグ識別子が含まれます。タグドキュメントはXML形式で提供されます。
ソフトウェアパッケージデータ交換(SPDX)
SBOM情報の通信をサポートし、セキュリティ、ライセンスコンプライアンス、およびその他のソフトウェアサプライチェーンの使用例を支援するための国際的なオープン標準(ISO/IEC 5962:2021)。シリアル化形式にはJSON、RDF/XML、タグ値、およびYAMLが含まれます。
ソフトウェア部品表(SBOM)
通常はJSONまたはXMLファイルで表現され、CycloneDXまたはSPDX形式で記述されるアーティファクト。配信されたソフトウェアに関連するメタデータや、ソフトウェアに含まれる依存関係を含みます。
エクスプロイトの理解
無名の脅威アクター
名前、識別子、または国に関連付けられていない非特定の脅威アクター。関連項目:高度な持続的脅威(APT)。
脆弱性エイリアス
ベンダーまたはセキュリティ研究者によって割り当てられた脆弱性の名前(例:「Log4Shell」または「URGENT/11」)。
脆弱性開示レポート(VDR)
製品やサービスの脆弱性を開示するベンダーによる文書。ISO/IEC 29147:2018国際標準およびNIST SP 800-161出版物は、脆弱性報告の受領、修正措置の開示、その他の責任ある脆弱性管理の側面を取り扱うためのガイドラインを提供しています。
脆弱性利用可能性交換(VEX)
NTIA(米国通信情報管理局)によって開発されたフォーマットで、製品内の含まれるコンポーネントが特定の脆弱性の影響を受けるかどうか、またその正当化を説明するための追加情報を提供するものです。主な使用例はSBOMに含めることで非悪用可能な脆弱性に時間を費やすのを防ぐことですが、これだけではありません。
武器化されたエクスプロイト
悪意を持ったエクスプロイト(例:マルウェアを含むMicrosoft Word文書)や、野生環境で悪用されていると報告されるエクスプロイト、あるいは「ポイント&クリック」方式で簡単に悪用可能なエクスプロイトを指します。また、通常、二次ペイロードやインプラントを含むことが多いです。
Webシェル
被害者のHTTPサーバーにアップロードされた悪意のあるファイル。このファイルにアクセスすると、攻撃者は被害者サーバー上で任意のコードを実行できます。
