Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性管理のベストプラクティスとスレットモニタリング
Search
Recruit Technologies
June 13, 2018
Technology
24
8.5k
脆弱性管理のベストプラクティスとスレットモニタリング
Interlop Tokyo 2018での西村の講演資料です。
Recruit Technologies
June 13, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
620
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
11k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.4k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.9k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
41k
【RTC新人研修 】 TPS
rtechkouhou
1
40k
Android Boot Camp 2020
rtechkouhou
0
41k
HTML/CSS
rtechkouhou
10
50k
TypeScript Bootcamp 2020
rtechkouhou
9
45k
Other Decks in Technology
See All in Technology
受託開発でもアジャイル開発できました / Agile in Contract Development
takaking22
9
4.4k
【shownet.conf_】3Dアプローチで守るセキュリティ
shownet
PRO
0
390
とある事業会社にとっての Kaggler の魅力
hakubishin3
3
600
プロダクト価値を考えるための情報透明化とチーム文化づくり
nyo_taro
1
150
小さな勉強会の始め方、広げ方、あるいは友達の作り方 / How to Start, Grow, and Build Connections with Small Study Groups
ar_tama
6
2.8k
【shownet.conf_】ShowNet 2024 ~ Inter * Network ~
shownet
PRO
0
530
軽いノリで"自動化"に取り組んではいけないという話
tetsuyaooooo
1
550
リスクから学ぶKubernetesコンテナセキュリティ/k8s-risk-and-security
mochizuki875
1
330
Azure App Service on Linux の Sidecar に Phi-3 を配置してインテリジェントなアプリケーションを作ってみよう/jazug-anniv14
thara0402
0
470
RAG: from dumb implementation to serious results
glaforge
0
150
入門 KRR
donkomura
0
110
スクラム導入の舞台裏:QAエンジニアがスクラムマスターになるまで
bubo1201
0
240
Featured
See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.5k
In The Pink: A Labor of Love
frogandcode
139
22k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
The Language of Interfaces
destraynor
154
24k
Ruby is Unlike a Banana
tanoku
96
11k
How to train your dragon (web standard)
notwaldorf
87
5.6k
Rails Girls Zürich Keynote
gr2m
93
13k
Music & Morning Musume
bryan
46
6.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.7k
Docker and Python
trallard
40
3k
Producing Creativity
orderedlist
PRO
341
39k
Transcript
੬ऑੑཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ଜ
फߊ
ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવࢭʹऔΓΉɻ݄ʹɺ
Ϣ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझ ຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻ ʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ ༵όάϋϯλʔ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ ଜ फߊ ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜΖ͔ɾɾɾ
ϋοʜ ͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘
• ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ
R R R R R R
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ
ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉ʣϓϩμΫτ ΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽ ׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ • ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍
• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕Խ ڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴ • άάΕݟ͔ͭΔঢ়ଶΛࢦ͢ • IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ •
ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾαΠτ ࣾ֎ͷ ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞Γ ࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ
ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾ֎ͷ ։ൃऀ ͔ࣾΒͷΞΫηεͰ ͋ΕΕΔֻ͚ ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ • ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ • ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ ͔ͳใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞ ߈ܸ׆ಈ ใऩू ղੳͱධՁ ରԠࢧԉ
੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯά ࠃͷ੬ऑੑใ αʔϏε ୈੈ d
• ใ৴ͷλΠϜϥά • ։ൃݩʹΑΔใެ։͔ΒͷԆ • ใͷཏੑ • CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ
• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ ࠃͷ੬ऑੑใαʔϏεͷ՝ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑใΛೖख • ཏੑͷ্ •
ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ • ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू ୈੈ d
ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ͖ • ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ • ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDB ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू 7VMO%#
ୈੈ d ୈੈ ୈੈ +1$&35$$͔Βͷ θϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ • 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘ • ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀΈΜͳͬͯΔ • ຊͰϦΫϧʔτ͕ॳΊͯಋೖ
• APIఏڙ • N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲ VulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞ αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ͘ ࣗओ ن੍
• ੬ऑੑใΛ୳͢खؒΛݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ 305໊ʢ20185݄࣌ʣ • ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ •
։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ • ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹ ࣗओ ن੍ ࣗओ
ن੍
͞ΒͳΔվળࡦΛࡧத ୈੈ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠใ ୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ • ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ
• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •
৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚ ͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&D ݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹ ݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞՄೳʹ πʔϧԽͷར
ݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷԽʹΛΒͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED
TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍ πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾ Δ͞·ɾɾɾ RED TEAMͷࣾཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ • ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ
֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ
• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖੳʣ •
ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ৫Ͱͷࣗతͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".Λൃ ࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137
CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •
ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6& ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ͜͜ͷ࢟Λඳ͖͘
͕࣌དྷ͍ͯΔ ߴͳٕज़ਓࡐͷ࠾༻ ैདྷͷΛ͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕͍ͭͭ͋Δ ࠃઌਐେاۀ ࠃઌਐ*5ϕϯνϟʔ ࠃاۀฏۉ ੈք ख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ
ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ ࣍ͷख़ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱʁ ख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ
ٕज़ઐਓࡐ رগੑͱۀքχʔζͷ ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ ख़
"4*4 ͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ
՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ
• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ
• ίεύྑ͘ • ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτڪΕΔͷͰͳָ͘͠Ήͷ
None