Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
脆弱性管理のベストプラクティスとスレットモニタリング
Recruit Technologies
June 13, 2018
Technology
24
8k
脆弱性管理のベストプラクティスとスレットモニタリング
Interlop Tokyo 2018での西村の講演資料です。
Recruit Technologies
June 13, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
0
410
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
8.2k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.3k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.6k
【61期 新人BootCamp】TOC入門
rtechkouhou
2
38k
【RTC新人研修 】 TPS
rtechkouhou
1
37k
Android Boot Camp 2020
rtechkouhou
1
37k
HTML/CSS
rtechkouhou
5
39k
TypeScript Bootcamp 2020
rtechkouhou
9
41k
Other Decks in Technology
See All in Technology
岐路に立つ若手がAmazonianの仕事術を学んできました / learning amazonian productivity hacks as a junior engineer
yayoi_dd
0
160
OCIコンテナサービス関連の技術詳細 /oke-ocir-details
oracle4engineer
PRO
0
780
MarvelClient Upgrade 64bit クライアントへの自動アップグレード設定
mitsuru_katoh
0
190
SmartHRからOktaへのSCIM連携で作り出すHRドリブンのアカウント管理
jousysmiler
1
120
Logbii(ログビー) 会社紹介
logbii
0
170
開発者と協働できるメトリクスダッシュボードを作ろう!/SRE Lounge 2023
lmi
3
520
OCI技術資料 : ロード・バランサー 詳細 / Load Balancer 200
ocise
2
7.2k
OPENLOGI Company Profile
hr01
0
12k
立ち止まっても、寄り道しても / even if I stop, even if I take a detour
katoaz
0
920
Periodic Multi-Agent Path Planning
hziwara
0
120
Cloudflare Workersで動くOG画像生成器
aiji42
1
500
USB PD で迎える AC アダプター大統一時代
puhitaku
2
2k
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
Writing Fast Ruby
sferik
613
58k
Side Projects
sachag
451
37k
The Pragmatic Product Professional
lauravandoore
21
3.5k
The Art of Programming - Codeland 2020
erikaheidi
36
11k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
13k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
A Modern Web Designer's Workflow
chriscoyier
689
180k
Bash Introduction
62gerente
601
210k
A Tale of Four Properties
chriscoyier
149
21k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
44
14k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
17k
Transcript
੬ऑੑཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ଜ
फߊ
ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવࢭʹऔΓΉɻ݄ʹɺ
Ϣ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझ ຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻ ʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ ༵όάϋϯλʔ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ ଜ फߊ ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜΖ͔ɾɾɾ
ϋοʜ ͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘
• ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ
R R R R R R
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ
ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉ʣϓϩμΫτ ΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽ ׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ • ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍
• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕Խ ڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴ • άάΕݟ͔ͭΔঢ়ଶΛࢦ͢ • IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ •
ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾαΠτ ࣾ֎ͷ ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞Γ ࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ
ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾ֎ͷ ։ൃऀ ͔ࣾΒͷΞΫηεͰ ͋ΕΕΔֻ͚ ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ • ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ • ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ ͔ͳใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞ ߈ܸ׆ಈ ใऩू ղੳͱධՁ ରԠࢧԉ
੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯά ࠃͷ੬ऑੑใ αʔϏε ୈੈ d
• ใ৴ͷλΠϜϥά • ։ൃݩʹΑΔใެ։͔ΒͷԆ • ใͷཏੑ • CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ
• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ ࠃͷ੬ऑੑใαʔϏεͷ՝ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑใΛೖख • ཏੑͷ্ •
ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ • ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू ୈੈ d
ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ͖ • ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ • ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDB ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू 7VMO%#
ୈੈ d ୈੈ ୈੈ +1$&35$$͔Βͷ θϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ • 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘ • ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀΈΜͳͬͯΔ • ຊͰϦΫϧʔτ͕ॳΊͯಋೖ
• APIఏڙ • N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲ VulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞ αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ͘ ࣗओ ن੍
• ੬ऑੑใΛ୳͢खؒΛݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ 305໊ʢ20185݄࣌ʣ • ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ •
։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ • ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹ ࣗओ ن੍ ࣗओ
ن੍
͞ΒͳΔվળࡦΛࡧத ୈੈ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠใ ୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ • ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ
• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •
৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚ ͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&D ݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹ ݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞՄೳʹ πʔϧԽͷར
ݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷԽʹΛΒͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED
TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍ πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾ Δ͞·ɾɾɾ RED TEAMͷࣾཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ • ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ
֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ
• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖੳʣ •
ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ৫Ͱͷࣗతͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".Λൃ ࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137
CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •
ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6& ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ͜͜ͷ࢟Λඳ͖͘
͕࣌དྷ͍ͯΔ ߴͳٕज़ਓࡐͷ࠾༻ ैདྷͷΛ͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕͍ͭͭ͋Δ ࠃઌਐେاۀ ࠃઌਐ*5ϕϯνϟʔ ࠃاۀฏۉ ੈք ख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ
ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ ࣍ͷख़ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱʁ ख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ
ٕज़ઐਓࡐ رগੑͱۀքχʔζͷ ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ ख़
"4*4 ͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ
՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ
• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ
• ίεύྑ͘ • ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτڪΕΔͷͰͳָ͘͠Ήͷ
None