影響度(悪用可能性指標)について

Question

いつもお世話になっています。

影響度(悪用可能性指標)について質問があります。

■影響度(悪用可能性指標)

0 - 悪用の事実を確認済み

1 - 悪用される可能性が高い

2 - 悪用される可能性は低い

3 - 悪用される可能性は非常に低い

4 - 影響されない

悪用がありで影響度(悪用可能性指標)が0の場合がありました。

これはどのようなステータスでしょうか？

Answer 1

悪用可能性指標は過去に何度か修正されてきていると思いますし、訳語も統一されていないように思います。

最近のものでは、

［0 - 悪用の事実を確認済み］、［1 - 悪用される可能性が高い］、［2 - 悪用される可能性は低い］、［3 - 悪用される可能性は非常に低い ］、［4 - 影響されない］

となっていますが、下のサイトからリンクされている「Microsoft Exploitability Index」（日本語サイトが見つかりません）では、４ の指標はありませんので、また修正が行われたのかもしれません。

　　　　　例：2017 年3 月のマイクロソフトセキュリティ情報の概要

　　　　　　　　　　　　　Microsoft Exploitability Index

［0 - 悪用の事実を確認済み］というのは脆弱性を突かれる危険が現実化しているということで、最優先で対処すべきものということになります。

≪0 – Exploitation Detected ：Microsoft is aware of an instance of this vulnerability being exploited. As such, customers who have reviewed the security update and determined its applicability within their environment should treat this with the highest priority≫

もっとも、私なりの解釈なので妥当かどうかは分かりませんが、

それによる危険度（悪用のされやすさ）や拡がり、あるいは被害の内容や程度といった要素も考慮する必要があるので、悪用可能性指標だけで対処の緊急度が決まるものではない場合もあると思います。

そのために敢えて「0」という数値を使って他とは区分しているのかもしれません。

**訂正：**悪用の可能性ということなので、悪用されていれば既に可能性の問題ではないので０（ゼロ）なのだと気づきました。

Answer 2

こんにちは。

0-4 は項番なだけで影響度が 0 ということではないですが、そういう質問でしょうか？

>悪用の事実を確認済み

これであれば、悪用の事実があるというのは文言に問題無いと思います。