!NPDIJ[VLJ ಥ͖ഁֶͬͯͿίϯςφηΩϡϦςΟ $/$+
$MPVE
/BUJWF
4FDVSJUZ
+BQBO
-5ࡇΓ


XIPBNJ !NPDIJ[VLJ 🌕
,FJUB
.PDIJ[VLJ
❤
,VCFSOFUFT
🚨
"
GPY
OPU
B
SBDDPPO
EPH 

<એ఻>
$MPVE
/BUJWF
%BZT
8JOUFS
 
৐ͬऔΕ,VCFSOFUFTʂʂ
dϦεΫ͔ΒֶͿ,VCFSOFUFTηΩϡϦςΟͷߟ͑ํd


IUUQTFWFOUDMPVEOBUJWFEBZTKQDOEXUBMLT 

<એ఻>
,VCFSOFUFT
#MPH 
,VCFSOFUFT
#MPH
4QPUMJHIU
PO
,VCFSOFUFT
6QTUSFBN
5SBJOJOH
JO
+BQBO


IUUQTLVCFSOFUFTJPCMPHLTVQTUSFBNUSBJOJOHKBQBOTQPUMJHIU 

஫ҙࣄ߲ ຊൃද͸αΠόʔ߈ܸΛߠఆ͢Δ΋ͷͰ͸͋Γ·ͤΜ
ܝࡌ಺༰͸ݸਓͷݟղͰ͋Γɺॴଐ͢Δاۀ΍૊৫ͷཱ৔ɺઓུɺҙݟΛ୅ද͢Δ΋ͷͰ͸͋Γ·ͤΜ
هࡌ͞Ε͍ͯΔձ໊ࣾɺ঎඼໊ɺ·ͨ͸αʔϏε໊͸ɺ֤ࣾͷ঎ඪొ࿥·ͨ͸঎ඪͰ͢ 

ίϯςφηΩϡϦςΟʁ ίϯςφ΍,VCFSOFUFT͸Ϋϥ΢υωΠςΟϒٕज़ͷதͰ΋޿͘׆༻͞ΕΔٕज़ͱͳΓ·ͨ͠ɻ 
$/$'

"//6"-
4637&:


IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ 

ίϯςφηΩϡϦςΟʁ コンテナセキュリティやって。 ぶっちゃけ よくわからんけど いい感じにね！ は い っ ! 

ίϯςφηΩϡϦςΟʁ ͿͬͪΌ͚΍Γͨ͘ͳ͍ むずそう。。。 え、やだ え、待って、 何やれば良いの？ コンテナセキュリティ is 何？ 

ίϯςφηΩϡϦςΟʁ ಛʹ1SPEVDUJPO؀ڥͰ,VCFSOFUFTίϯςφΛར༻͢Δ࣌
ηΩϡϦςΟͷݕ౼͸ආ͚ͯ௨Δ͜ͱͷͰ͖ͳ͍՝୊ͷͭ 🛡 🗡 Ͱ΋΍Βͳ͖Ό͍͚ͳ͍ 

ίϯςφηΩϡϦςΟʁ 
$/$'

"//6"-
4637&:


IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ 

ίϯςφηΩϡϦςΟʁ 
$/$'

"//6"-
4637&:


IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ 

ίϯςφηΩϡϦςΟʁ ຊ೔ͷηογϣϯ͸ίϯςφΛѻ͏্Ͱͷ୅දతͳηΩϡϦςΟϦεΫͰ͋Δ$POUBJOFS
#SFBLPVUʹ
͍ͭͯ஌Δ͜ͱͰɺίϯςφηΩϡϦςΟΛҙࣝ͢Δ͖͔͚ͬΛ࡞Δ͜ͱΛ໨తͱ͍ͯ͠·͢ɻ If we had never experienced dropping and breaking a glass, we would not have needed a glass that doesn’t break when dropped. ΋͠ࢲ͕ͨͪάϥεΛམͱׂͯ͠ΔܦݧΛ͍ͯ͠ͳ͔ͬͨͳΒɺམͱͯ͠΋ׂΕͳ͍άϥεΛඞཁͱ͠ͳ͔ͬͨͰ͠ΐ͏ɻ 

8IBUT
$POUBJOFS ίϯςφ͸ίϯςφϗετ͔ΒݟΕ͹ͭͷϓϩηεʹա͗·ͤΜɻ
௨ৗͷϓϩηεͱͷҧ͍͸ɺ-JOVYΧʔωϧͷ༷࣋ͭʑͳ࢓૊ΈʹΑΓ
ίϯςφϓϩηε͕ଞ͔Βִ཭͞Ε͍ͯΔ఺Ͱ͢ɻ ॾઆ͋Γ $POUBJOFS
1SPDFTT 1SPDFTT
" 1SPDFTT
# 全て1プロセスに過ぎない ࣮ߦ؀ڥݖݶϦιʔε
ͷ؍఺Ͱִ཭ ίϯςφϗετ 

$POUBJOFS
#SFBLPVU ίϯςφΛѻ͏্Ͱͷ୅දతͳηΩϡϦςΟϦεΫͱͯ͠$POUBJOFS
#SFBLPVU͕͋Γ·͢ɻ
ίϯςφ͸ִ཭͞Εͨ؀ڥΛ࡞Γग़ٕ͢ज़Ͱ͕͢ɺίϯςφͷઃఆෆඋ΍੬ऑੑ౳͕ཁҼͱͳΓɺ
ίϯςφͷִ཭؀ڥ͔Β֎෦ʹӨڹΛٴ΅͢͜ͱ͕ՄೳʹͳΔ৔߹͕͋Γ·͢ɻ
ಛʹίϯςφ͸ෳ਺ͷίϯςφ͕ಉҰͷίϯςφϗετͰ࣮ߦ͞ΕΔέʔε͕ҰൠతͰ͋ΔͨΊɺ
$POUBJOFS
#SFBLPVU͕੒ཱ͢ΔͱͦͷӨڹ͕ଞͷίϯςφʹ೾ٴ͢ΔϦεΫ΋͋Γ·͢ɻ $POUBJOFS
1SPDFTT ίϯςφϗετ $POUBJOFS
1SPDFTT 

$POUBJOFS
#SFBLPVU 08"41
,VCFSOFUFT
5PQ
5FO
5PQ

,VCFSOFUFT
3JTLT


ΑΓ IUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFOFOTSD,JOTFDVSFXPSLMPBEDPO fi HVSBUJPOT 

$POUBJOFS
#SFBLPVU ຊ೔ͷηογϣϯͰ͸,VCFSOFUFTͰίϯςφΛѻ͏্Ͱɺ
$POUBJOFS
#SFBLPVU͕ൃੜ͢ΔέʔεΛ͍͔ͭ͘͝঺հ͠·͢ɻ
✅
ύλʔϯ
ಛݖίϯςφ
✅
ύλʔϯ
/BNFTQBDFͷڞ༗
✅
ύλʔϯ
ύλʔϯ 

ύλʔϯ
ಛݖίϯςφ 

ύλʔϯ
ಛݖίϯςφ $POUBJOFS
#SFBLPVU͕ൃੜ͢ΔཁҼͱͯ͠࠷΋୅දతͳͷ͕ಛݖίϯςφͰ͢ɻ
௨ৗίϯςφͰ͸$BQBCJMJUZ΍ϑΝΠϧγεςϜ΁ͷΞΫηε੍ޚΛ͸͡Ίͱͨ͠࢓૊ΈʹΑΓ
ίϯςφϓϩηε͕ίϯςφϗετʹରͯ͠༗͢Δݖݶ੍͕ݶ͞Ε·͢ɻ
͔͠͠ಛݖίϯςφͰ͸ݪଇͦΕΒͷ੍ݶ͕ߦΘΕͣɺ͋ΒΏΔૢ࡞͕ՄೳʹͳΓ·͢ɻ ίϯςφϗετ /PEF ͋ΒΏΔૢ࡞͕Մೳ $POUBJOFS
1SPDFTT $POUBJOFS
1SPDFTT ڐՄ͞Εͨૢ࡞ͷΈՄೳ QSJWJMFHFE
USVF
-JOVYΧʔωϧʹର͢Δ
੍ݶ͕ແޮԽ͞Εͨঢ়ଶ 

ύλʔϯ
ಛݖίϯςφ ҎԼͷϚχϑΣετΛ༻͍ͯ,VCFSOFUFTʹ1PEΛσϓϩΠ͢Δͱɺ
1PE಺ͷίϯςφʹ͸ಛݖ͕෇༩͞Ε·͢ɻ BQJ7FSTJPO
W
LJOE
1PE
NFUBEBUB
OBNF
QSJWJMFHFEQPE
MBCFMT
BQQ
QSJWJMFHFEQPE
TQFD
DPOUBJOFST

OBNF
VCVOUV
JNBHF
VCVOUV
DPNNBOE
<CJOCBTI
D
TMFFQ
JO fi OJUZ>
TFDVSJUZ$POUFYU
QSJWJMFHFE
USVF コンテナに特権を付与 QSJWJMFHFEQPEZBNM 

ύλʔϯ
ಛݖίϯςφ SPPU!QSJWJMFHFEQPE
DBU
&0'

DNE
CJOTI
FDIP
)FMMP
GSPN
$POUBJOFS

UNQPVUQVU
&0'
SPPU!QSJWJMFHFEQPE
DINPE
Y
DNE


SPPU!QSJWJMFHFEQPE
NPVOU











PWFSMBZ
PO

UZQF
PWFSMBZ
SX SFMBUJNF MPXFSEJS VQQFSEJSWBSMJCDPOUBJOFSEJPDPOUBJOFSETOBQTIPUUFSWPWFSMBZGT TOBQTIPUTGT XPSLEJS
SPPU!QSJWJMFHFEQPE
FDIP
c
WBSMJCDPOUBJOFSEJPDPOUBJOFSETOBQTIPUUFSWPWFSMBZGTTOBQTIPUTGTDNE
a



QSPDTZTLFSOFMDPSF@QBUUFSO
SPPU!QSJWJMFHFEQPE
TMFFQ
JO fi OJUZ

SPPU!QSJWJMFHFEQPE
LJMM
4*(4&(7

<>

4FHNFOUBUJPO
GBVMU





DPSF
EVNQFE
TMFFQ
JO fi OJUZ core_patternファイルにパイプで実行したいプログラムを渡す Nodeで実行したいコマンドを記載した プログラムを作成 Nodeから見たときにこのプログラムが配置される パスを特定(cf overlayfs) コアダンプを出力させる ྫ͑͹ಛݖίϯςφʹ৵ೖͨ͠߈ܸऀ͕-JOVYͷίΞμϯϓͷػೳΛ࢖༻͢Δͱɺ
೚ҙͷίϚϯυΛίϯςφϗετ /PEF Ͱ࣮ߦ͢Δ͜ͱ͕Ͱ͖·͢ɻ ಛݖίϯςφ 

ύλʔϯ
ಛݖίϯςφ SPPU!LTDMVTUFSOPEFd
DBU
UNQPVUQVU

)FMMP
GSPN
$POUBJOFS Nodeで任意のコマンドを実行できた ࢀߟ

͜ͷख๏Ͱ͸ίΞμϯϓग़ྗ࣌ʹύΠϓΛܦ༝ͯ͠೚ҙͷϓϩάϥϜΛ࣮ߦͤ͞Δ࢓૊ΈΛ࢖༻͍ͯ͠·͢ɻ ίϯςφϗετ ίϯςφϗετΛ֬ೝ͢Δͱɺίϯςφ಺Ͱ࡞੒ͨ͠ϓϩάϥϜ͕ίϯςφϗετ্Ͱ
࣮ߦ͞Εͨܗ੻͕֬ೝͰ͖·͢ɻ
͜ͷྫͰ͸ɺಛݖίϯςφ͕QSPDTZTʹରͯ͠ॻ͖ࠐΈΛߦ͑Δ͜ͱΛѱ༻͠ɺ
$POUBJOFS
#SFBLPVUΛߦ͍·ͨ͠ɻ
௨ৗͷίϯςφͰ͸QSPDTZT͕3FBE0OMZͱͳ͓ͬͯΓॻ͖ࠐΈ͕ېࢭ͞Ε͍ͯ·͢ɻ 1JQJOH
DPSF
EVNQT
UP
B
QSPHSBN
ɹ4JODF
-JOVY

-JOVY
TVQQPSUT
BO
BMUFSOBUF
TZOUBY
GPS
UIFQSPDTZTLFSOFMDPSF@QBUUFSO
fi MF



*G
UIF
fi STU
DIBSBDUFS
PGUIJT
fi MF
JT
B
QJQF
TZNCPM
c
UIFO
UIF
SFNBJOEFS
PG
UIF
MJOF
JT
ɹJOUFSQSFUFE
BT
UIF
DPNNBOEMJOF
GPS
B
VTFSTQBDF
QSPHSBN
PS
TDSJQU
UIBU
JT
UP
CF
FYFDVUFE 
DPSF 
Š
-JOVY
NBOVBM
QBHF
ɹIUUQTXXXNBOPSHMJOVYNBOQBHFTNBODPSFIUNM 

ύλʔϯ
/BNFTQBDFͷڞ༗ 

ύλʔϯ
/BNFTQBDFͷڞ༗ ௨ৗίϯςφͰ͸-JOVY
/BNFTQBDFΛ͸͡Ίͱͨ͠࢓૊ΈʹΑΓɺ
ίϯςφϓϩηεͷ࣮ߦ؀ڥ͕ίϯςφϗετͰ࣮ߦ͞ΕΔଞͷϓϩηε͔Βִ཭͞Ε·͢ɻ
͔͠͠Ұ෦ͷ࣮ߦ؀ڥ͕ίϯςφϗετͱڞ༗͞Ε͍ͯΔ͜ͱ͕ϦεΫΛҾ͖ى͜͢৔߹͕͋Γ·͢ɻ
ྫ͑͹1*%ͷִ཭Λ࣮ݱ͢Δ1*%
/BNFTQBDF͕ίϯςφͱίϯςφϗετͰڞ༗͞Ε͍ͯΔ৔߹ɺ
ίϯςφ͔ΒίϯςφϗετͰ࣮ߦ͞Ε͍ͯΔશͯͷϓϩηε ଞͷίϯςφϓϩηεؚ Λ
ࢀরՄೳͳঢ়ଶʹͳΓ·͢ɻ $POUBJOFS
1SPDFTT 1SPDFTT
" 1SPDFTT
# IPTU1*%
USVF
ଞϓϩηεΛ
ࢀরՄೳͳঢ়ଶ ίϯςφϗετ /PEF 

ࢀߟ
/BNFTQBDF෼཭ͷΠϝʔδ 

ύλʔϯ
/BNFTQBDFͷڞ༗ ҎԼͷϚχϑΣετΛ༻͍ͯ,VCFSOFUFTʹ1PEΛσϓϩΠ͢Δͱɺ
1PE಺ͷίϯςφͱίϯςφϗετؒͰ1*%
/BNFTQBDF͕ڞ༗͞Ε·͢ɻ BQJ7FSTJPO
W
LJOE
1PE
NFUBEBUB
OBNF
IPTUQJEQPE
MBCFMT
BQQ
IPTUQJEQPE
TQFD


IPTU1*%
USVF
DPOUBJOFST

OBNF
VCVOUV
JNBHF
VCVOUV
DPNNBOE
<CJOCBTI
D
TMFFQ
JO fi OJUZ> IPTUQJEQPEZBNM PID NamespaceをNodeと共有 ˞-JOVY
/BNFTQBDF
㱠
,VCFSOFUFT
/BNFTQBDF 

ύλʔϯ
/BNFTQBDFͷڞ༗ ίϯςφϗετͱ1*%
/BNFTQBDF͕ڞ༗͞Εͨίϯςφ͔Β͸ɺ
ίϯςφϗετͰ࣮ߦ͞Ε͍ͯΔશͯͷϓϩηεΛࢀরͰ͖·͢ɻ SPPU!IPTUQJEQPE
QT
BVYG
64&3








1*%
$16
.&.



74;


344
55:





45"5
45"35


5*.&
$0.."/%
SPPU


































4



"VH





SPPU


















4M






VTSMPDBMCJODPOUBJOFSETIJNSVODW
OBNFTQBDF
LTJP
JE
E


























4T







a@
QBVTF
SPPU





















4T







a@
OHJOY
NBTUFS
QSPDFTT
OHJOY
H
EBFNPO
P ff 























4












a@
OHJOY
XPSLFS
QSPDFTT























4












a@
OHJOY
XPSLFS
QSPDFTT

SPPU


















4M






VTSMPDBMCJODPOUBJOFSETIJNSVODW
OBNFTQBDF
LTJP
JE
B


























4T







a@
QBVTF
SPPU






















4T







a@
TMFFQ
JO fi OJUZ
SPPU














QUT



4T







a@
CJOCBTI
SPPU














QUT



3











a@
QT
BVYG 1*%
/BNFTQBDFڞ༗͋Γ SPPU!VCVOUV
QT
BVYG
64&3








1*%
$16
.&.



74;


344
55:





45"5
45"35


5*.&
$0.."/%
SPPU




















QUT



4T






CJOCBTI
SPPU




















QUT



3






QT
BVYG 1*%
/BNFTQBDFڞ༗ͳ͠ 通常はコンテナ内のプロセスしか参照できない コンテナホストの全てのプロセスを参照できる 自分以外のコンテナプロセスも 参照できる(Nginx コンテナ) 

ύλʔϯ
/BNFTQBDFͷڞ༗ ͜ΕΛѱ༻͢Δͱɺ৵ೖͨ͠ίϯςφ͔ΒผͷίϯςφʹӨڹΛٴ΅͢͜ͱ͕Ͱ͖·͢ɻ 
LVCFDUM
MPHT
OHJOY
G
EPDLFSFOUSZQPJOUTI
EPDLFSFOUSZQPJOUE
JT
OPU
FNQUZ
XJMM
BUUFNQU
UP
QFSGPSN
DPO fi HVSBUJPO





TUBSU
XPSLFS
QSPDFTT

*N
TQFBLJOH
EJSFDUMZ
UP
ZPVS
DPOUBJOFS /HJOY
1PEͷϩά SPPU!IPTUQJEQPE
1*%
SPPU!IPTUQJEQPE
MT
QSPD1*%SPPU
CJO

CPPU

EFW

EPDLFSFOUSZQPJOUE

EPDLFSFOUSZQPJOUTI

FUD

SPPU!IPTUQJEQPE
DBU
QSPD1*%SPPUVTSTIBSFOHJOYIUNMJOEFYIUNM















































%0$5:1&
IUNM
IUNM
IFBE
UJUMF8FMDPNF
UP
OHJOYUJUMF

IUNM
SPPU!IPTUQJEQPE
FDIP
 *N
TQFBLJOH
EJSFDUMZ
UP
ZPVS
DPOUBJOFS 

QSPD1*%GE 先のpsコマンドから対象のコンテナのPIDを特定 (Nginxコンテナ) ファイルシステムを参照 コンテナログを汚染 1*%
/BNFTQBDFڞ༗͋Γ 

ύλʔϯ
ύλʔϯ 

ύλʔϯ
ύλʔϯ ύλʔϯͷಛݖίϯςφΛύλʔϯͰղઆͨ͠1*%
/BNFTQBDFͷڞ༗Λ༗ޮԽͨ͠ঢ়ଶͰ
࣮ߦ͢Δͱɺίϯςφ͔Βίϯςφϗετʹ෼͔Γ΍͘͢৵ೖ͢Δ͜ͱ͕Ͱ͖·͢ɻ BQJ7FSTJPO
W
LJOE
1PE
NFUBEBUB
OBNF
QSJWJMFHFEIPTUQJEQPE
MBCFMT
BQQ
QSJWJMFHFEIPTUQJEQPE
TQFD


IPTU1*%
USVF
DPOUBJOFST

OBNF
VCVOUV
JNBHF
VCVOUV
DPNNBOE
<CJOCBTI
D
TMFFQ
JO fi OJUZ
TFDVSJUZ$POUFYU
QSJWJMFHFE
USVF QSJWJMFHFEIPTUQJEQPEZBNM SPPU!QSJWJMFHFEIPTUQJEQPE
IPTUOBNF
QSJWJMFHFEIPTUQJEQPE
SPPU!QSJWJMFHFEIPTUQJEQPE
OTFOUFS
U

B
CJOCBTI
SPPU!LTDMVTUFSOPEF
IPTUOBNF
LTDMVTUFSOPEF コンテナのホスト名 コンテナホストと同じ Namespaceでbashを実行 コンテナホストに侵入できた パターン1 コンテナに特権を付与 パターン2 PID NamespaceをNodeと共有 

ରࡦ
ίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ͤ͞Δ ίϯςφ։ൃऀ͕ίϯςφΛ࣮ߦ͢Δࡍ͸͜ͷΑ͏ͳϦεΫΛ౿·͑ɺ
ʮίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ʯͤ͞ΔͨΊͷରࡦΛߦ͏ඞཁ͕͋Γ·͢ɻ ίϯςφ֎ʹӨڹ $POUBJOFS
1SPDFTT $POUBJOFS
1SPDFTT ίϯςφͷִ཭ੑ͕֬อ͞Ε͓ͯΓ
ηΩϡϦςΟϨϕϧ͕ߴ͍ঢ়ଶ ίϯςφͷִ཭ੑ͕֬อ͞Ε͓ͯΒͣ
ηΩϡϦςΟϨϕϧ͕௿͍ঢ়ଶ #SFBLPVU ίϯςφϗετ /PEF 

✅
ෆཁͳઃఆΛߦΘͳ͍
ɹɹίϯςφͱͯ͠࠷௿ݶͷִ཭ੑΛ֬อ͢Δ
✅
ִ཭ੑΛߴΊΔઃఆΛߦ͏
ɹɹ௥ՃͷઃఆʹΑΓִ཭ੑΛ͞ΒʹߴΊΔ
ɹɹ ྫ͑͹੬ऑੑ౳ʹΑִͬͯ཭ੑͷ௿Լ͕ىͬͯ͜΋ॿ͔ΔՄೳੑ͕͋Δ
✅
ίϯςφઃఆͷεΩϟϯ
ɹɹίϯςφʹରִͯ͠཭ੑͷ௿Լʹܨ͕Δઃఆ͕ߦΘΕ͍ͯͳ͍͔Λݕ஌
ɹɹFH
,VCFSOFUFTͰ͋Ε͹1PEͷઃఆΛεΩϟϯ 5SJWZ LVCFMJOUFS
FUD
✅
ͦͷଞ
ɹɹϙϦγʔ੍ޚɺηΩϡΞͳίϯςφϥϯλΠϜɺৼΔ෣͍؂ࢹ
FUD
ରࡦ
ίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ͤ͞Δ 
1PE
4FDVSJUZ
4UBOEBSET


IUUQTLVCFSOFUFTJPEPDTDPODFQUTTFDVSJUZQPETFDVSJUZTUBOEBSET Pod Security Standards* 

ରࡦ
ίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ͤ͞Δ ࣍ͷίϯςφηΩϡϦςΟͷ࣌୅

6TFS
/BNFTQBDF
8JUI
B
1PE
IUUQTTQFBLFSEFDLDPNQGODMPVEOBUJWFEBZTVTFSOBNFTQBDFXJUIBQPE 

One more things... 

0OF
NPSF
UIJOHT ࣍ͷΑ͏ͳ%PDLFS fi MF͔ΒίϯςφΠϝʔδΛϏϧυ͠ɺ
1PEΛσϓϩΠ͢ΔͨΊͷϚχϑΣετΛ༻ҙ͠·͢ɻ '30.
VCVOUV
803,%*3
QSPDTFMGGE
$.%
<CJOCBTI
D
XIJMF

EP
CBTI
J

EFWUDQ*1@"%%3&44

TMFFQ

EPOF> %PDLFS fi MF DWFVCVOUVSFWFSTF BQJ7FSTJPO
W
LJOE
1PE
NFUBEBUB


MBCFMT




BQQ
VCVOUVSFWFSTF


OBNF
VCVOUVSFWFSTF
TQFD


DPOUBJOFST



JNBHF
3&(*453:@63-DWFVCVOUVSFWFSTF




OBNF
VCVOUV VCVOUVSFWFSTFZBNM 特にコンテナの隔離性を低下させるような 設定は含まれていない 何の変哲もない？Dockerfile (少なくとも脆弱性等は含まれない) 

0OF
NPSF
UIJOHT 
LVCFDUM
BQQMZ
G
VCVOUVSFWFSTFZBNM

LVCFDUM
HFU
QPE
VCVOUV
PXJEF
/".&















3&"%:


45"564



3&45"354


"(&


*1



















/0%&


























VCVOUVSFWFSTF










3VOOJOH




















T





LTDMVTUFSOPEF





 1PEΛσϓϩΠ 
OD
M
Q

TIFMMJOJU
FSSPS
SFUSJFWJOH
DVSSFOU
EJSFDUPSZ
HFUDXE
DBOOPU
BDDFTT
QBSFOU
EJSFDUPSJFT
/P
TVDI
fi MF
PS
EJSFDUPSZ
CBTI
DBOOPU
TFU
UFSNJOBM
QSPDFTT
HSPVQ
 
*OBQQSPQSJBUF
JPDUM
GPS
EFWJDF
CBTI
OP
KPC
DPOUSPM
JO
UIJT
TIFMM
SPPU!VCVOUVSFWFSTF
DISPPU

QZUIPO
D
JNQPSU
QUZ
QUZTQBXO CJOCBTI 
SPPU!VCVOUVSFWFSTF
DBU
FUDIPTUOBNF
LTDMVTUFSOPEF ߈ܸ୺຤Ͱ଴ͪड͚ঢ়ଶΛ࡞Δ
୺຤ͷ*1ΞυϨε͸%PDLFS fi MFͰࢦఆͨ͠*1@"%%3&44 1PEΛσϓϩΠ͠߈ܸ୺຤Ͱ଴ͪड͚ঢ়ଶΛ࡞Δͱɺίϯςφϗετͱηογϣϯཱ͕֬͞Εɺ
/PEFʹ৵ೖ SPPUGTʹΞΫηε Ͱ͖ͨ͜ͱ͕֬ೝͰ͖·͢ɻ コンテナホストのrootfsにアクセスできた 

$7& -FBLZ
7FTTFM ίϯςφϗετ /PEF VCVOUVSFWFSTF ίϯςφͷઃఆ͸໰୊ͳ͔ͬͨ
˞ίϯςφΠϝʔδʹ͸੬ऑੑΛѱ༻͢Δࡉ޻͕͞Ε͍ͯͨ 1SPDFTT ίϯςφ͔ΒίϯςφϗετͷϑΝΠϧγεςϜ΁ͷΞΫηεΛҾ͖ى͜͢SVODͷ੬ऑੑΛѱ༻ɻ
͜ͷΑ͏ʹɺίϯςφͷઃఆʹ໰୊͕ͳͯ͘΋ίϯςφ͕࣮ߦ͞Ε͍ͯΔ؀ڥͷ੬ऑੑʹىҼͯ͠
$POUBJOFS
#SFBLPVU͕ൃੜ͢Δ৔߹΋͋ΔͨΊ஫ҙ͕ඞཁͰ͢ɻ ίϯςφϥϯλΠϜ 0$* ͷ੬ऑੑʹΑΓ
ίϯςφͷִ཭ੑ͕௿Լͨ͠ SPPUGT $3*
3VOUJNF
DPOUBJOFSE 0$*
3VOUJNF
SVOD
W 
$7& -FBLZ
7FTTFM



IUUQTOWEOJTUHPWWVMOEFUBJM$7& 

ࢀߟ
աڈʹൃݟ͞Εͨ੬ऑੑͷྫ ✅
$7&
IUUQTOWEOJTUHPWWVMOEFUBJMDWF
ɹɹίϯςφ͔ΒSVODͷόΠφϦͷॻ͖׵͑Λߦ͏͜ͱͰಛݖঢ֨ΛҾ͖ى͜͢SVODͷ੬ऑੑ
✅
$7&
IUUQTOWEOJTUHPWWVMOEFUBJMDWF
ɹɹ/PEFͱͷ௨৴Λߦ͏ࡍʹDSFEFOUJBM৘ใ͕ୣऔ͞ΕΔՄೳੑʹܨ͕ΔLVCFBQJTFSWFSͷ੬ऑੑ
✅
$7&
IUUQTOWEOJTUHPWWVMOEFUBJM$7&
ɹɹίϯςφ͔ΒDHSPVQ
WͷSFMFBTF@BHFOUΛհͯ͠ಛݖঢ֨ΛҾ͖ى͜͢-JOVYΧʔωϧͷ੬ऑੑ
✅
$7&
-FBLZ
7FTTFMT
IUUQTOWEOJTUHPWWVMOEFUBJM$7&
ɹɹίϯςφ͔ΒίϯςφϗετͷϑΝΠϧγεςϜ΁ͷΞΫηεΛҾ͖ى͜͢SVODͷ੬ऑੑ
✅
$7&
IUUQTOWEOJTUHPWWVMOEFUBJM$7&
ɹɹඇਪ঑ͷHJU3FQP
UZQF
WPMVNFΛ࢖༻ͯ͠ಛݖঢ֨ΛҾ͖ى͜͢LVCFMFUͷ੬ऑੑɹɹ ࢀߟ
,VCFSOFUFT
0 ff i DJBM
$7&
'FFE
ɹɹɹIUUQTLVCFSOFUFTJPEPDTSFGFSFODFJTTVFTTFDVSJUZP ffi DJBMDWFGFFE 

·ͱΊ ✅
$POUBJOFS
#SFBLPVUͷύλʔϯΛෳ਺ղઆ
ɹ✔
ίϯςφʹ͓͚Δ୅දతͳηΩϡϦςΟϦεΫ
ɹ✔
ίϯςφΛར༻͢Δཱ৔ͱͯ͠ίϯςφͷִ཭ੑΛߴΊΔ͜ͱΛҙࣝ
✅
࣮ߦ؀ڥͷηΩϡϦςΟରࡦ΋ॏཁ
ɹ✔
֤ϨΠϠʹηΩϡϦςΟରࡦΛߦ͏ ଟ૚๷ޚ 

ࢀߟ
ίϯςφʹؔ͢ΔͦͷͦͷଞͷϦεΫͷྫ ✅
ίϯςφΠϝʔδ΁ͷϦεΫҼࢠͷࠞೖ
ɹ😱
ίϯςφ΁ͷ৵ೖ
✅
ίϯςφΠϝʔδͷެ։ઃఆͷෆඋ
ɹ😱
ίϯςφΠϝʔδͷྲྀग़
✅
ίϯςφΠϝʔδͷ৴པੑෆ଍
ɹ😱
վ᜵͞ΕͨίϯςφΠϝʔδͷ࢖༻
✅
ίϯςφΠϝʔδ΁ͷൿີ৘ใͷࠞೖ
ɹ😱
ίϯςφΠϝʔδ͔Βൿີ৘ใͷୣऔɹ
✅
ίϯςφͷϧʔτϑΝΠϧγεςϜ΁ͷॻ͖ࠐΈڐՄ
ɹ😱
ίϯςφͷվ᜵ ✅
ίϯςφͷແ੍ݶͳϦιʔε࢖༻
ɹ😱
ίϯςφϗετͷϦιʔεͷա৒ͳ࢖༻
✅
1PE΁ͷա৒ͳݖݶͷ෇༩
ɹ😱
,VCFSOFUFTͷෆਖ਼ͳૢ࡞
✅
ίϯςφ͕࢖༻͢Δൿີ৘ใͷෆద੾ͳ؅ཧ
ɹ😱
ίϯςφͷൿີ৘ใͷྲྀग़
✅
1PEʹର͢Δ௨৴੍ݶͷະ࣮ࢪ
ɹ😱
1PEʹର͢Δෆਖ਼ͳ௨৴ 

13 "NB[PO ✅
୅දతͳϦεΫΛ࣮ײ͠ରࡦͷߟ͑ํʢجૅʣΛཧղͰ͖Δ
ɹɹ✔
ϦεΫΛϕʔεͱͨ͠ষߏ੒ʢશέʔεʴЋʣ
ɹɹ✔
ϦεΫΛ౿·͑ͯରࡦͷجຊݪଇ΍۩ମతख๏ରࡦΛཧղͰ͖Δ
✅
ϋϯζΦϯΛ௨ͯ͡۩ମతʹཧղͰ͖Δ
ɹɹ✔
खΛಈ͔͠ͳ͕Βֶ΂ΔʢϋϯζΦϯ཰͘Β͍ʣ
ɹɹ✔
,VCFSOFUFT޷͖Ͱ͋Ε͹ͦ͜·ͰηΩϡϦςΟʹڵຯ͕ͳ͍ਓͰ΋ָ͠ΊΔ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ
ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ ίϯςφηΩϡϦςΟΛֶͿೖΓޱ 絶賛発売中!! 

5IBOL
:PV