੬ऑੑ؅ཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ੢ଜ फߊ

੢ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃ಺ܞଳి࿩ϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺ೥ΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવ๷ࢭʹऔΓ૊Ήɻ೥݄ʹ͸ɺ Ϣ ʔ β ا ۀ Ͱ ࠃ ಺ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾ಺ʹൃ଍ɻझ ຯ͸ϒϥ΢βͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ Βಘͨใ঑ۚͰॅ୐ϩʔϯΛฦ͢͜ͱɻ ೥ʹՈΛݐͯɺ೥ޙʹ౔஍୅ͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥ΢βϋοΫʢ؂༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D

2017೥Լظ ηΩϡϦςΟ඼࣭άϧʔϓͷϚωʔδϟʔʹ ೔༵όάϋϯλʔ ηΩϡϦςΟ඼࣭άϧʔϓͷϚωʔδϟʔ

લ೚ͷϚωʔδϟʔ͸ɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦ໾һ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ௕

ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμ΢ϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦ໾һ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ௕ ੢ଜ फߊ ೔༵όάϋϯλʔ

ࣗ෼ʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜ΍Ζ͔ɾɾɾ

ϋοʜ ͬ͜ʜʜ

͜Εͩͬ

Hack Everything

• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑ͸ଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘ • ࢖͍΍͘͢ • ԿΑΓࣗ෼͕ͨͪϫΫϫΫ͢Δ΋ͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything

ࢲୡͷάϧʔϓ͕໨ࢦ͢ํ޲ੑ

ϦΫϧʔτͰ͸։ൃͷ಺੡Խ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ R R R R R R

͜Ε·Ͱ͸ϧʔϧͱ౷੍Ͱ෺ࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ૊৫ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ΍͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R

ࠓ͸ٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ૊৫ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R ͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘౗ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R

ࢲୡ΋֤ࣾͷ౷੍෦໳Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ

ͦΕ͸։ൃݱ৔ͷϦΞϧͱ͸ԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ

͜Ε͔Β͸ࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ ࢧԉͱڠۀ

։ൃݱ৔Ͱಘͨؾ෇͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ

2018೥4݄͔ΒϓϩμΫτ಺੡։ൃ૊৫ͱͷ݉຿ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉຿ʣϓϩμΫτ ΤϯδχΞϦϯά෦

։ൃऀڭҭͷ࡮৽ ׆ಈࣄྫ

• ϦΫϧʔτͷ։ൃऀڭҭ͸ू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ௒͑ΔࢴͷࢿྉΛ2017೥ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ໰୊ • ࣾ಺ΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛ஌Βͳ͍ • ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ಺༰͕௠෗Խ ڭࡐΛࢴ͔ΒWebʹ

ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗ؀ڥผηΩϡϦςΟΨΠυ͸GitHub PagesͰ഑৴ • άάΕ͹ݟ͔ͭΔঢ়ଶΛ໨ࢦ͢ • Issue΍Pull RequestΛड͚෇͚Δ͜ͱͰ௠෗ԽΛ཈ࢭ • ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ׮༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞੒ʹؔ༩ͨ͠ਓ͸READMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗ؀ڥผͷ ηΩϡϦςΟΨΠυ ࣾ಺αΠτ ࣾ಺֎ͷ ։ൃऀ

2018೥6݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ޲͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾ಺αΠτʹ໭ΕΔ࢓ֻ͚Λ࡞Γ ࣾ಺αΠτ΁ͷྲྀೖΛଅ͢ʢࣾ಺NW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗ؀ڥผͷ ηΩϡϦςΟΨΠυ ࣾ಺֎ͷ ։ൃऀ ࣾ಺͔ΒͷΞΫηεͰ ͋Ε͹໭ΕΔ࢓ֻ͚ ࣾ಺αΠτ

੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ

• ੬ऑੑରԠ͸֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀ΁ରԠΛґཔ • ੬ऑੑ৘ใͷऩूͱਂࠁ౓ͷධՁΛCSIRTͰ࣮ࢪ • ෳ਺ͷٕज़ऀ͕࣋ͪճΓͰ୲౰ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ਑

• ߈ܸ͕དྷΔલʹɺ৘ใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017೥ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷ೔ʹ߈ܸ͕؍ଌ͞Εͨࣄྫ΋ ଎΍͔ͳ৘ใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞੒ ߈ܸ׆ಈ ৘ใऩू ղੳͱධՁ ରԠࢧԉ ੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑ৘ใͷެ։

2015೥·Ͱͷ੬ऑੑϋϯυϦϯά ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε ୈੈ୅ d೥

• ৘ใ഑৴ͷλΠϜϥά • ։ൃݩʹΑΔ৘ใެ։͔Β਺೔ͷ஗Ԇ • ৘ใͷ໢ཏੑ • CVEͷׂΓ౰ͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾ؀ڥͱҰக͠ͳ͍ਂࠁ౓ධՁ • ଟ͘ͷ৔߹ɺCVSS͸ࣗࣾʹ͓͚Δਂࠁ౓ͱҰக͠ͳ͍ ࠃ಺ͷ੬ऑੑ৘ใαʔϏεͷ՝୊ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾ಺ϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ

• ৘ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍৘ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑ৘ใΛೖख • ໢ཏੑͷ޲্ • ࠃ಺֎ͷηΩϡϦςΟ৘ใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռ৘ใΛ༻͍ͯɺ৘ใͷऩू࿙ΕΛ௿ݮ • ࣗࣾ؀ڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷ೉қ౓΍ࣗࣾͰੜ͡͏Δඃ֐ΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑ৘ใͷऩूͱධՁ͕ඞཁͱͳΔ

ࣗ෼ͨͪͰ৘ใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε 5XJUUFSͰ৘ใऩू +1$&35$$͔Βͷ θϩσΠ৘ใ ໿ݸͷ৘ใݯ͔Β Ұ࣍৘ใΛऩू ୈੈ୅ d೥ ୈੈ୅ ೥

• ৭ʑͳ৘ใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ޲͖ • ݟ͚ͭͨ੬ऑੑ৘ใΛϝϯόʔʹڞ༗͢Δͷ͸खؒ • ͦΕͰ΋৘ใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝୊͕

ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷ৘ใαʔϏε VulnDB ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε 5XJUUFSͰ৘ใऩू +1$&35$$͔Βͷ θϩσΠ৘ใ ໿ݸͷ৘ใݯ͔Β Ұ࣍৘ใΛऩू 7VMO%# ୈੈ୅ d೥ ୈੈ୅ ೥ ୈੈ୅ ೥ +1$&35$$͔Βͷ θϩσΠ৘ใ

• ໿6,000ݸͷ৘ใݯΛੈքͷ3ڌ఺Ͱ؂ࢹ • 1೔ʹ50ʙ300݅ఔ౓ͷ੬ऑੑ৘ใ͕ಧ͘ • ϦΞϧλΠϜੑ͸ୈ2ੈ୅ΑΓ΍΍ྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀ͸ΈΜͳ࢖ͬͯΔ • ೔ຊͰ͸ϦΫϧʔτ͕ॳΊͯಋೖ • APIఏڙ • N࣌ؒҎ಺ʹొ࿥͞Εͨ੬ऑੑ৘ใΛऔಘͳͲ VulnDBͷಛ௃

VulnDBͱࣾ಺SlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞੒ αʔόϨεͰ࣮ݱ

• Ϙοτͷ੬ऑੑଠ࿠ʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ΍͘ ࣗओ ن੍

• ੬ऑੑ৘ใΛ୳͢खؒΛ࡟ݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ΋޲্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞ࿦Ͱ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈ୅ͷ՝୊Λղܾ

• ࣾ಺ͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ਺ 305໊ʢ2018೥5݄࣌఺ʣ • ηΩϡϦςΟνʔϜͱࣾ಺ΤϯδχΞͷަྲྀͷ৔ʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾ಺ೝ஌ΛಘΔ • ։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕࢖ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴ΁ରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝୊Λղܾͯ͘͠ΕΔΑ͏ʹ

• Custom Slash CommandͰ੬ऑੑͷग़ݱΛ؂ࢹ • ొ࿥ͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛ؂ࢹ ࣗओ ن੍ ࣗओ ن੍

͞ΒͳΔվળࡦΛ໛ࡧத ୈੈ୅ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠ৘ใ ୈੈ୅ ೥ αʔό΍/8ػث͔Βࣗಈऔಘͨ͠ ߏ੒৘ใͱ੬ऑੑΛϚον

• ༵೔͝ͱʹ୲౰ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓ͸ຖ೔1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͸͔ͬ͠Γௐࠪ • ରࡦͷύον΍߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ • ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱ؀ڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ܸ੒ཱͷϝΧχζϜΛݕূɻ ࣮࢖༻্ɺͦͷ੬ऑੑ͕ຊ౰ʹ໰୊ʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷ৔ʹ

• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ΋

੬ऑੑݕࠪ ׆ಈࣄྫ

• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ೥ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ • ৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰ͸ͳ͘఺ݕͱ͍͏Ґஔ෇͚ ͜Ε·Ͱͷ੬ऑੑݕࠪ͸׬શʹ֎෦ҕୗ

ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷ಺੡Խ R&D ݕ౼த

AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த

ݕ౼த

6*Λ࢖Θͣʹ௚઀"1*Λ࢖͏͜ͱ΋Մೳʹ ݕ౼த

• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨε਺ͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧ͸අ༻ରޮՌʹԠͯ͡ஔ׵Մೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ର৅ʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞ΋Մೳʹ ಺੡πʔϧԽͷར఺ ݕ౼த

Web੬ऑੑݕࠪͷΧόʔ཰Λ্͛ΔͨΊͷऔΓ૊Έ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓ૊ΈΛ໛ࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷ಺੡Խʹ͸଩Λ੾Βͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦ΁ͷΞΫηεݖΛ෇༩ͯ͠΋Β͍ πʔϧ΍໨ࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾ಺ཹֶ

͸Δ΀͞·ɾɾɾ ͸Δ΀͞·ɾɾɾ RED TEAM΁ͷࣾ಺ཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ଄ • ։ൃ૊৫ʹηΩϡϦςΟͷ෼͔ΔਓΛ૿΍͢͜ͱͰ ֤૊৫Ͱͷ੬ऑੑରԠΛଅ͢

։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ

• CVRվળޮՌͷ͋Δ΋ͷΛ଎͘࡞ΓɺՁ஋ݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ૊৫ઓུͱٕज़ઓུʗٶ઒ యٱ

• طଘͷηΩϡϦςΟαʔϏε͸SoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃ଎౓Λམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ • Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷ౎౓ߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷ໛ࡧ

։ൃϓϩηεʹ࠷దͳࢪࡦΛ໛ࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖ෼ੳʣ • ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭ੒ʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭ੒ʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ૊৫Ͱͷࣗ཯తͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ

͜ͷઌͷʮมԽʯʹ޲͚ͯ

੢ଜ͕஫ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸ଎ͳྫྷ͑ࠐΈɻ࠾༻ࢢ৔ʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ଎ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱ΋ʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟ஌ݟͷ͋Δࣾ಺ΤϯδχΞͷ૿Ճ ࣾ಺Ͱ࠾༻͞ΕΔٕज़ͷٸ଎ͳҠΓมΘΓ

͜ͷ2೥ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸ଎ͳྫྷ͑ࠐΈɻ࠾༻ࢢ৔ʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ଎ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱ΋ʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟ஌ݟͷ͋Δࣾ಺ΤϯδχΞͷ૿Ճ ࣾ಺Ͱ࠾༻͞ΕΔٕज़ͷٸ଎ͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ

ࣾ಺ʹ3&%5&".Λൃ଍ ࠃ಺ͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫ௿ݮʹऔΓ૊Ή

CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137 CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ

2020೥Ҏ߱ʹى͜ΔมԽʹ޲͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱ৔ͷ͋ΒΏΔηΩϡϦςΟ՝୊Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ

ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ๭ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ • ๭ITࢿ࢈؅ཧιϑτ΢ΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹੡඼ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ

$0%&#-6& ࠃ࢈*5ࢿ࢈؅ཧιϑτ΢ΣΞͷʢΠϯʣηΩϡϦςΟ

ηΩϡϦςΟ૊৫ͱͦͷ੒ख़౓

ϦΫϧʔτͷηΩϡϦςΟ૊৫੒ख़౓ $4*35ൃ଍ ٕज़ۀ຿͸ϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀ຿ͷ಺੡Խ΍ ϕϯμʔ඼࣭؅ཧʹணख ͜͜ͷ࢟Λඳ͘΂͖ ͕࣌དྷ͍ͯΔ ߴ౓ͳٕज़ਓࡐͷ࠾༻΍ ैདྷͷ࿮Λ௒͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕੔͍ͭͭ͋Δ ࠃ಺ઌਐେاۀ ࠃ಺ઌਐ*5ϕϯνϟʔ ࠃ಺اۀฏۉ ੈք ੒ख़౓

૊৫ͷ੒ख़౓ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐ͸ҟͳΔ ٕज़ۀ຿͸ϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀ຿ͷ಺੡Խ΍ ϕϯμʔ඼࣭؅ཧʹணख ܦӦͱͷڮ౉͠ਓࡐ ʴ ηΩϡϦςΟ؂ࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গ਺ͷηΩϡϦςΟ ٕज़ઐ໳ਓࡐ ࣍ͷ੒ख़౓ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱ͸ʁ ੒ख़౓

ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ ೥Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ੢ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ౉͠ਓࡐ ʴ ηΩϡϦςΟ؂ࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গ਺ͷηΩϡϦςΟ ٕज़ઐ໳ਓࡐ رগੑͱۀքχʔζͷ ૒ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦ࢖ͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝୊ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ೾ ੒ख़౓

"4*4 ͜ͷઌͷ2೥ͰঃʑʹࠩผԽྖҬ΁γϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গ਺ͷηΩϡϦςΟ ٕज़ઐ໳ਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦ࢖ͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝୊ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ੒ख़౓

• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐ௙؅ཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗ෼ͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔ஌ݟ͕͋Δ • ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹ఺ͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇΍͔ͳγϑτ͸͢Ͱʹ࢝·͍ͬͯΔ

• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑ͸ଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίεύྑ͘ • ࢖͍΍͘͢ • ԿΑΓࣗ෼͕ͨͪϫΫϫΫ͢Δ΋ͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτ͸ڪΕΔͷͰ͸ͳָ͘͠Ή΋ͷ

No content