― CVSS v3.1 だけでは判断できない理由 ―
脆弱性評価において、CVSS(Common Vulnerability Scoring System) v3.1 は広く使われています。
しかし、実際の攻撃やインシデント対応の現場では、次のような疑問が頻繁に生じます。
- CVSS v3.1 が高いのに、実害が出ない脆弱性がある
- CVSS v3.1 が中程度なのに、ランサムウェアで致命的に使われた脆弱性がある
- なぜ「特権昇格」や「水平展開」に使われる脆弱性は評価が難しいのか
これらの理由は明確です。
CVSS v3.1 は「脆弱性の強さ(点数)」を示すが、
その脆弱性が「攻撃の中で何ができるか(能力)」までは示さないから
本稿では、この課題を解決するための「脆弱性の能力判定基準」 を体系的に解説します。
CVSS v3.1 は「点数」、攻撃は「連鎖」
CVSS v3.1 は、脆弱性を 単体 で評価します。
- 攻撃がどれほど容易か
- 成功した場合の影響がどれほど大きいか
一方、実際のサイバー攻撃は 連鎖構造 を持っています。
初期侵入 → 特権昇格 → 水平展開 → 破壊・暗号化このため、次のような問題が起きます。
- 単体では軽微だが「攻撃連鎖の要」になる脆弱性
- 強力だが「侵入後でなければ使えない」脆弱性
このため、脆弱性を「点数」だけで評価すると、攻撃全体の危険性を誤って判断することになります。
攻撃フェーズという「位置」の概念
脆弱性は、攻撃連鎖の どこで使えるか によって意味が変わります。
| 攻撃フェーズ | 役割 |
|---|---|
| 初期侵入 | 組織、システムの境界、入り口 |
| 特権昇格 | 権限境界の破壊 |
| 水平展開 | 被害の拡大 |
| その他 | 補助的・条件依存 |
同じ CVSS v3.1 スコアであっても、“初期侵入に使える脆弱性” と “侵入後にしか使えない脆弱性” では、実際の危険度は大きく異なります。
脆弱性の「能力」という考え方
そこで重要になるのが、能力判定です。能力判定は、CVSS を否定するものではなく、CVSS を実務で使える形に昇華する補助軸です。
能力判定とは
「この脆弱性を使うと、攻撃者は “何ができるようになるか”
を明確にすること
① 初期侵入に使えるか?
判定の意味:この脆弱性単体で、攻撃の開始点になり得るか
YES となる典型例
- リモートコード実行(RCE)
- 認証不要のサービス脆弱性
- 文書・ブラウザ・スクリプト起点の実行
評価上の意味
- YES の場合、CVSS が中程度でも 最優先対応
- 攻撃連鎖のすべてがここから始まる
② 権限境界を壊すか?
判定の意味:本来越えられないはずの権限の壁を突破できるか
対象となる権限境界の例
典型例
- ローカル特権昇格(LPE)
- カーネル/ドライバ脆弱性
- 権限チェック不備
評価上の意味
- 初期侵入と組み合わさると致命的
- 単体では「条件依存」だが、成功時の影響は極めて大きい
③ 認証情報を奪えるか?
判定の意味:他のシステムへ移動するための「資格」を得られるか
認証情報の例
- NTLM ハッシュ
- Kerberos チケット
- アクセストークン
- 保存された資格情報
評価上の意味
- 水平展開の可否を決定づける
- CVSS スコアが低くても、組織全体を危険にさらす可能性がある
水平展開に使える脆弱性の性質
ここで重要な点があります。
水平展開は脆弱性の種類ではなく、脆弱性が持ち得る「能力の結果」
水平展開に使える脆弱性の共通点は次の通りです。
- 認証情報を再利用可能にする
- 認証済みユーザーの到達範囲を広げてしまう
- 1台で得た権限を、他のホストに持ち出せる
これは、RCE・認証回避・トラバーサルといった従来の分類とは 別次元の性質です。
能力判定 × 攻撃フェーズの実務的活用
| CVSS スコア | 攻撃フェーズ | 能力判定 | 実際の危険度 |
| 高 | 特権昇格 | 権限境界破壊 | 条件依存 |
| 中 | 初期侵入 | 侵入可能 | 非常に危険 |
| 中 | 水平展開 | 認証情報取得 | 設計次第で致命的 |
まとめ
CVSS v3.1 は重要ですが、万能ではありません。攻撃は「連鎖」であり、連鎖の中で脆弱性の持つ「能力」を評価しなければなりません。能力判定基準 によって、脆弱性の本当の危険性を判断するべきです。
脆弱性評価とは、CVSS v3.1 のスコアを見ることではなく、攻撃者に “何を許すか” を見極めることです。
