- 攻撃ベクター (AV:L)
- 対象ホスト上でコードを走らせる、またはローカル権限が前提。
- 攻撃の複雑さ (AC:L)
- 手順が短く、再現性が高い。
- 攻撃要件 (AT:N)
- 到達性以外に、追加のインフラ条件やデータ前提は要らない。
- 必要な権限 (PR:H)
- 管理者・SYSTEM など強い権限が前提。
- ユーザーの関与 (UI:A)
- 設定変更やマクロ有効化など、意図的な操作がトリガーになる。
- 脆弱システムの機密性への影響 (VC:N)
- 脆弱な対象から機微情報が読まれうる余地はほとんどない。
- 脆弱システムの完全性への影響 (VI:N)
- 改ざん・なりすましで信頼が揺らぐ局面はほとんど想定されない。
- 脆弱システムの可用性への影響 (VA:N)
- 業務を止めるほどの停止や劣化は想定しにくい。
- 後続システムの機密性への影響 (SC:H)
- 下流に広がる機微情報の窃取や長期滞留が現実的。
- 後続システムの完全性への影響 (SI:H)
- 下流にまたがる広範な改竄や偽装が現実的。
- 後続システムの可用性への影響 (SA:H)
- 下流に波及する長時間停止やカスケード障害が現実的。
- 悪用の成熟度(Threat) (E:U)
- 公開 PoC・実害報告・自動化キットのいずれも確認できない。