Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性管理のベストプラクティスとスレットモニタリング
Search
Recruit Technologies
June 13, 2018
Technology
24
8.6k
脆弱性管理のベストプラクティスとスレットモニタリング
Interlop Tokyo 2018での西村の講演資料です。
Recruit Technologies
June 13, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
630
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
11k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.5k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.9k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
41k
【RTC新人研修 】 TPS
rtechkouhou
1
41k
Android Boot Camp 2020
rtechkouhou
0
41k
HTML/CSS
rtechkouhou
10
50k
TypeScript Bootcamp 2020
rtechkouhou
9
45k
Other Decks in Technology
See All in Technology
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
230
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
190
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
CysharpのOSS群から見るModern C#の現在地
neuecc
1
3.1k
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
AIチャットボット開発への生成AI活用
ryomrt
0
170
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
複雑なState管理からの脱却
sansantech
PRO
1
140
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
170
Featured
See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Raft: Consensus for Rubyists
vanstee
136
6.6k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
Transcript
੬ऑੑཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ଜ
फߊ
ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવࢭʹऔΓΉɻ݄ʹɺ
Ϣ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझ ຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻ ʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ ༵όάϋϯλʔ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ ଜ फߊ ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜΖ͔ɾɾɾ
ϋοʜ ͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘
• ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ
R R R R R R
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ
ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉ʣϓϩμΫτ ΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽ ׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ • ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍
• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕Խ ڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴ • άάΕݟ͔ͭΔঢ়ଶΛࢦ͢ • IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ •
ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾαΠτ ࣾ֎ͷ ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞Γ ࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ
ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾ֎ͷ ։ൃऀ ͔ࣾΒͷΞΫηεͰ ͋ΕΕΔֻ͚ ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ • ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ • ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ ͔ͳใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞ ߈ܸ׆ಈ ใऩू ղੳͱධՁ ରԠࢧԉ
੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯά ࠃͷ੬ऑੑใ αʔϏε ୈੈ d
• ใ৴ͷλΠϜϥά • ։ൃݩʹΑΔใެ։͔ΒͷԆ • ใͷཏੑ • CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ
• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ ࠃͷ੬ऑੑใαʔϏεͷ՝ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑใΛೖख • ཏੑͷ্ •
ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ • ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू ୈੈ d
ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ͖ • ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ • ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDB ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू 7VMO%#
ୈੈ d ୈੈ ୈੈ +1$&35$$͔Βͷ θϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ • 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘ • ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀΈΜͳͬͯΔ • ຊͰϦΫϧʔτ͕ॳΊͯಋೖ
• APIఏڙ • N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲ VulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞ αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ͘ ࣗओ ن੍
• ੬ऑੑใΛ୳͢खؒΛݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ 305໊ʢ20185݄࣌ʣ • ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ •
։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ • ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹ ࣗओ ن੍ ࣗओ
ن੍
͞ΒͳΔվળࡦΛࡧத ୈੈ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠใ ୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ • ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ
• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •
৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚ ͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&D ݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹ ݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞՄೳʹ πʔϧԽͷར
ݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷԽʹΛΒͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED
TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍ πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾ Δ͞·ɾɾɾ RED TEAMͷࣾཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ • ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ
֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ
• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖੳʣ •
ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ৫Ͱͷࣗతͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".Λൃ ࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137
CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •
ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6& ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ͜͜ͷ࢟Λඳ͖͘
͕࣌དྷ͍ͯΔ ߴͳٕज़ਓࡐͷ࠾༻ ैདྷͷΛ͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕͍ͭͭ͋Δ ࠃઌਐେاۀ ࠃઌਐ*5ϕϯνϟʔ ࠃاۀฏۉ ੈք ख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ
ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ ࣍ͷख़ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱʁ ख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ
ٕज़ઐਓࡐ رগੑͱۀքχʔζͷ ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ ख़
"4*4 ͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ
՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ
• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ
• ίεύྑ͘ • ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτڪΕΔͷͰͳָ͘͠Ήͷ
None