Pro Yearly is on sale from $80 to $50! »

脆弱性管理のベストプラクティスとスレットモニタリング

 脆弱性管理のベストプラクティスとスレットモニタリング

Interlop Tokyo 2018での西村の講演資料です。

Eea9a05e6e222a3d50c73f54a49fadf4?s=128

Recruit Technologies

June 13, 2018
Tweet

Transcript

  1. ੬ऑੑ؅ཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ੢ଜ

    फߊ
  2. ੢ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃ಺ܞଳి࿩ϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺ೥ΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવ๷ࢭʹऔΓ૊Ήɻ೥݄ʹ͸ɺ

    Ϣ ʔ β ا ۀ Ͱ ࠃ ಺ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾ಺ʹൃ଍ɻझ ຯ͸ϒϥ΢βͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ Βಘͨใ঑ۚͰॅ୐ϩʔϯΛฦ͢͜ͱɻ ೥ʹՈΛݐͯɺ೥ޙʹ౔஍୅ͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥ΢βϋοΫʢ؂༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 &     ɺ 1 B D 4 F D    
  3. 2017೥Լظ ηΩϡϦςΟ඼࣭άϧʔϓͷϚωʔδϟʔʹ ೔༵όάϋϯλʔ ηΩϡϦςΟ඼࣭άϧʔϓͷϚωʔδϟʔ

  4. લ೚ͷϚωʔδϟʔ͸ɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦ໾һ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ௕

  5. ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμ΢ϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦ໾һ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ௕ ੢ଜ फߊ ೔༵όάϋϯλʔ

  6. ࣗ෼ʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜ΍Ζ͔ɾɾɾ

  7. ϋοʜ ͬ͜ʜʜ

  8. ͜Εͩͬ

  9. Hack Everything

  10. • ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑ͸ଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘

    • ࢖͍΍͘͢ • ԿΑΓࣗ෼͕ͨͪϫΫϫΫ͢Δ΋ͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
  11. ࢲୡͷάϧʔϓ͕໨ࢦ͢ํ޲ੑ

  12. ϦΫϧʔτͰ͸։ൃͷ಺੡Խ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ

    R R R R R R
  13. ͜Ε·Ͱ͸ϧʔϧͱ౷੍Ͱ෺ࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ૊৫ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R

    ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ΍͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
  14. ࠓ͸ٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ૊৫ اըɾ؅ཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R

    ͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘౗ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
  15. ࢲୡ΋֤ࣾͷ౷੍෦໳Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ

  16. ͦΕ͸։ൃݱ৔ͷϦΞϧͱ͸ԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ

  17. ͜Ε͔Β͸ࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ

    ࢧԉͱڠۀ
  18. ։ൃݱ৔Ͱಘͨؾ෇͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ

    ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
  19. 2018೥4݄͔ΒϓϩμΫτ಺੡։ൃ૊৫ͱͷ݉຿ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦໳ ࣄۀ୲౰ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ

    ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉຿ʣϓϩμΫτ ΤϯδχΞϦϯά෦
  20. ։ൃऀڭҭͷ࡮৽ ׆ಈࣄྫ

  21. • ϦΫϧʔτͷ։ൃऀڭҭ͸ू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ௒͑ΔࢴͷࢿྉΛ2017೥ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ໰୊ • ࣾ಺ΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛ஌Βͳ͍

    • ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ಺༰͕௠෗Խ ڭࡐΛࢴ͔ΒWebʹ
  22. ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗ؀ڥผηΩϡϦςΟΨΠυ͸GitHub PagesͰ഑৴ • άάΕ͹ݟ͔ͭΔঢ়ଶΛ໨ࢦ͢ • Issue΍Pull RequestΛड͚෇͚Δ͜ͱͰ௠෗ԽΛ཈ࢭ •

    ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ׮༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞੒ʹؔ༩ͨ͠ਓ͸READMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗ؀ڥผͷ ηΩϡϦςΟΨΠυ ࣾ಺αΠτ ࣾ಺֎ͷ ։ൃऀ
  23. 2018೥6݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ޲͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾ಺αΠτʹ໭ΕΔ࢓ֻ͚Λ࡞Γ ࣾ಺αΠτ΁ͷྲྀೖΛଅ͢ʢࣾ಺NW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ

    ηΩϡϦςΟΨΠυ ݴޠʗ؀ڥผͷ ηΩϡϦςΟΨΠυ ࣾ಺֎ͷ ։ൃऀ ࣾ಺͔ΒͷΞΫηεͰ ͋Ε͹໭ΕΔ࢓ֻ͚ ࣾ಺αΠτ
  24. ੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ

  25. • ੬ऑੑରԠ͸֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀ΁ରԠΛґཔ • ੬ऑੑ৘ใͷऩूͱਂࠁ౓ͷධՁΛCSIRTͰ࣮ࢪ • ෳ਺ͷٕज़ऀ͕࣋ͪճΓͰ୲౰ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ਑

  26. • ߈ܸ͕དྷΔલʹɺ৘ใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017೥ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷ೔ʹ߈ܸ͕؍ଌ͞Εͨࣄྫ΋ ଎΍͔ͳ৘ใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞੒ ߈ܸ׆ಈ ৘ใऩू ղੳͱධՁ ରԠࢧԉ

    ੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑ৘ใͷެ։
  27. 2015೥·Ͱͷ੬ऑੑϋϯυϦϯά ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε ୈੈ୅ d೥

  28. • ৘ใ഑৴ͷλΠϜϥά • ։ൃݩʹΑΔ৘ใެ։͔Β਺೔ͷ஗Ԇ • ৘ใͷ໢ཏੑ • CVEͷׂΓ౰ͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾ؀ڥͱҰக͠ͳ͍ਂࠁ౓ධՁ

    • ଟ͘ͷ৔߹ɺCVSS͸ࣗࣾʹ͓͚Δਂࠁ౓ͱҰக͠ͳ͍ ࠃ಺ͷ੬ऑੑ৘ใαʔϏεͷ՝୊ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾ಺ϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
  29. • ৘ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍৘ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑ৘ใΛೖख • ໢ཏੑͷ޲্ •

    ࠃ಺֎ͷηΩϡϦςΟ৘ใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռ৘ใΛ༻͍ͯɺ৘ใͷऩू࿙ΕΛ௿ݮ • ࣗࣾ؀ڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷ೉қ౓΍ࣗࣾͰੜ͡͏Δඃ֐ΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑ৘ใͷऩूͱධՁ͕ඞཁͱͳΔ
  30. ࣗ෼ͨͪͰ৘ใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε 5XJUUFSͰ৘ใऩू +1$&35$$͔Βͷ θϩσΠ৘ใ ໿ݸͷ৘ใݯ͔Β Ұ࣍৘ใΛऩू ୈੈ୅ d೥

    ୈੈ୅ ೥
  31. • ৭ʑͳ৘ใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ޲͖ • ݟ͚ͭͨ੬ऑੑ৘ใΛϝϯόʔʹڞ༗͢Δͷ͸खؒ • ͦΕͰ΋৘ใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝୊͕

  32. ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷ৘ใαʔϏε VulnDB ࠃ಺ͷ੬ऑੑ৘ใ αʔϏε 5XJUUFSͰ৘ใऩू +1$&35$$͔Βͷ θϩσΠ৘ใ ໿ݸͷ৘ใݯ͔Β Ұ࣍৘ใΛऩू 7VMO%#

    ୈੈ୅ d೥ ୈੈ୅ ೥ ୈੈ୅ ೥ +1$&35$$͔Βͷ θϩσΠ৘ใ
  33. • ໿6,000ݸͷ৘ใݯΛੈքͷ3ڌ఺Ͱ؂ࢹ • 1೔ʹ50ʙ300݅ఔ౓ͷ੬ऑੑ৘ใ͕ಧ͘ • ϦΞϧλΠϜੑ͸ୈ2ੈ୅ΑΓ΍΍ྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀ͸ΈΜͳ࢖ͬͯΔ • ೔ຊͰ͸ϦΫϧʔτ͕ॳΊͯಋೖ

    • APIఏڙ • N࣌ؒҎ಺ʹొ࿥͞Εͨ੬ऑੑ৘ใΛऔಘͳͲ VulnDBͷಛ௃
  34. VulnDBͱࣾ಺SlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞੒ αʔόϨεͰ࣮ݱ

  35. • Ϙοτͷ੬ऑੑଠ࿠ʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ΍͘ ࣗओ ن੍

  36. • ੬ऑੑ৘ใΛ୳͢खؒΛ࡟ݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ΋޲্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞ࿦Ͱ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈ୅ͷ՝୊Λղܾ

  37. • ࣾ಺ͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ਺ 305໊ʢ2018೥5݄࣌఺ʣ • ηΩϡϦςΟνʔϜͱࣾ಺ΤϯδχΞͷަྲྀͷ৔ʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾ಺ೝ஌ΛಘΔ •

    ։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕࢖ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴ΁ରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝୊Λղܾͯ͘͠ΕΔΑ͏ʹ
  38. • Custom Slash CommandͰ੬ऑੑͷग़ݱΛ؂ࢹ • ొ࿥ͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛ؂ࢹ ࣗओ ن੍ ࣗओ

    ن੍
  39. ͞ΒͳΔվળࡦΛ໛ࡧத ୈੈ୅ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠ৘ใ ୈੈ୅ ೥ αʔό΍/8ػث͔Βࣗಈऔಘͨ͠ ߏ੒৘ใͱ੬ऑੑΛϚον

  40. • ༵೔͝ͱʹ୲౰ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓ͸ຖ೔1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͸͔ͬ͠Γௐࠪ • ରࡦͷύον΍߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ

    • ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱ؀ڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ܸ੒ཱͷϝΧχζϜΛݕূɻ ࣮࢖༻্ɺͦͷ੬ऑੑ͕ຊ౰ʹ໰୊ʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷ৔ʹ
  41. • Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ΋

  42. ੬ऑੑݕࠪ ׆ಈࣄྫ

  43. • ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ೥ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •

    ৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰ͸ͳ͘఺ݕͱ͍͏Ґஔ෇͚ ͜Ε·Ͱͷ੬ऑੑݕࠪ͸׬શʹ֎෦ҕୗ
  44. ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷ಺੡Խ R&D ݕ౼த

  45. AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த

  46. ݕ౼த

  47. 6*Λ࢖Θͣʹ௚઀"1*Λ࢖͏͜ͱ΋Մೳʹ ݕ౼த

  48. • ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨε਺ͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧ͸අ༻ରޮՌʹԠͯ͡ஔ׵Մೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ର৅ʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞ΋Մೳʹ ಺੡πʔϧԽͷར఺

    ݕ౼த
  49. Web੬ऑੑݕࠪͷΧόʔ཰Λ্͛ΔͨΊͷऔΓ૊Έ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓ૊ΈΛ໛ࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷ಺੡Խʹ͸଩Λ੾Βͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED

    TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦ΁ͷΞΫηεݖΛ෇༩ͯ͠΋Β͍ πʔϧ΍໨ࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾ಺ཹֶ
  50. ͸Δ΀͞·ɾɾɾ ͸Δ΀͞·ɾɾɾ RED TEAM΁ͷࣾ಺ཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ଄ • ։ൃ૊৫ʹηΩϡϦςΟͷ෼͔ΔਓΛ૿΍͢͜ͱͰ

    ֤૊৫Ͱͷ੬ऑੑରԠΛଅ͢
  51. ։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ

  52. • CVRվળޮՌͷ͋Δ΋ͷΛ଎͘࡞ΓɺՁ஋ݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ૊৫ઓུͱٕज़ઓུʗٶ઒ యٱ

  53. • طଘͷηΩϡϦςΟαʔϏε͸SoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃ଎౓Λམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ

    • Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷ౎౓ߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷ໛ࡧ
  54. ։ൃϓϩηεʹ࠷దͳࢪࡦΛ໛ࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖ෼ੳʣ •

    ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭ੒ʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭ੒ʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ૊৫Ͱͷࣗ཯తͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
  55. ͜ͷઌͷʮมԽʯʹ޲͚ͯ

  56. ੢ଜ͕஫ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸ଎ͳྫྷ͑ࠐΈɻ࠾༻ࢢ৔ʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ଎     ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ

    ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱ΋ʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟ஌ݟͷ͋Δࣾ಺ΤϯδχΞͷ૿Ճ ࣾ಺Ͱ࠾༻͞ΕΔٕज़ͷٸ଎ͳҠΓมΘΓ
  57. ͜ͷ2೥ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸ଎ͳྫྷ͑ࠐΈɻ࠾༻ࢢ৔ʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ଎     ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ

    ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱ΋ʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟ஌ݟͷ͋Δࣾ಺ΤϯδχΞͷ૿Ճ ࣾ಺Ͱ࠾༻͞ΕΔٕज़ͷٸ଎ͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
  58. ࣾ಺ʹ3&%5&".Λൃ଍ ࠃ಺ͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫ௿ݮʹऔΓ૊Ή

  59. CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137

    CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
  60. 2020೥Ҏ߱ʹى͜ΔมԽʹ޲͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱ৔ͷ͋ΒΏΔηΩϡϦςΟ՝୊Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ

  61. ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ๭ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •

    ๭ITࢿ࢈؅ཧιϑτ΢ΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹੡඼ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
  62. $0%&#-6& ࠃ࢈*5ࢿ࢈؅ཧιϑτ΢ΣΞͷʢΠϯʣηΩϡϦςΟ

  63. ηΩϡϦςΟ૊৫ͱͦͷ੒ख़౓

  64. ϦΫϧʔτͷηΩϡϦςΟ૊৫੒ख़౓    $4*35ൃ଍ ٕज़ۀ຿͸ϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀ຿ͷ಺੡Խ΍ ϕϯμʔ඼࣭؅ཧʹணख ͜͜ͷ࢟Λඳ͘΂͖

    ͕࣌དྷ͍ͯΔ ߴ౓ͳٕज़ਓࡐͷ࠾༻΍ ैདྷͷ࿮Λ௒͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕੔͍ͭͭ͋Δ ࠃ಺ઌਐେاۀ ࠃ಺ઌਐ*5ϕϯνϟʔ ࠃ಺اۀฏۉ ੈք ੒ख़౓
  65. ૊৫ͷ੒ख़౓ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐ͸ҟͳΔ ٕज़ۀ຿͸ϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀ຿ͷ಺੡Խ΍ ϕϯμʔ඼࣭؅ཧʹணख ܦӦͱͷڮ౉͠ਓࡐ ʴ ηΩϡϦςΟ؂ࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ

    ʴ গ਺ͷηΩϡϦςΟ ٕज़ઐ໳ਓࡐ ࣍ͷ੒ख़౓ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱ͸ʁ ੒ख़౓
  66. ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ ೥Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ੢ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ౉͠ਓࡐ ʴ ηΩϡϦςΟ؂ࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গ਺ͷηΩϡϦςΟ

    ٕज़ઐ໳ਓࡐ رগੑͱۀքχʔζͷ ૒ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦ࢖ͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝୊ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ೾ ੒ख़౓
  67. "4*4 ͜ͷઌͷ2೥ͰঃʑʹࠩผԽྖҬ΁γϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গ਺ͷηΩϡϦςΟ ٕज़ઐ໳ਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦ࢖ͯ͠ ࣗΒͷखͰ͋ΒΏΔ

    ՝୊ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ੒ख़౓
  68. • άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐ௙؅ཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗ෼ͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔ஌ݟ͕͋Δ

    • ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹ఺ͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇΍͔ͳγϑτ͸͢Ͱʹ࢝·͍ͬͯΔ
  69. • )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑ͸ଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ

    • ίεύྑ͘ • ࢖͍΍͘͢ • ԿΑΓࣗ෼͕ͨͪϫΫϫΫ͢Δ΋ͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτ͸ڪΕΔͷͰ͸ͳָ͘͠Ή΋ͷ
  70. None