Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性管理のベストプラクティスとスレットモニタリング
Search
Recruit Technologies
June 13, 2018
Technology
24
8.6k
脆弱性管理のベストプラクティスとスレットモニタリング
Interlop Tokyo 2018での西村の講演資料です。
Recruit Technologies
June 13, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
640
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
11k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.5k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.9k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
42k
【RTC新人研修 】 TPS
rtechkouhou
1
41k
Android Boot Camp 2020
rtechkouhou
0
41k
HTML/CSS
rtechkouhou
10
50k
TypeScript Bootcamp 2020
rtechkouhou
9
45k
Other Decks in Technology
See All in Technology
LINEスキマニにおけるフロントエンド開発
lycorptech_jp
PRO
0
330
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
620
10個のフィルタをAXI4-Streamでつなげてみた
marsee101
0
180
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
110
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
170
MLOps の現場から
asei
7
650
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
540
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
650
UI State設計とテスト方針
rmakiyama
2
670
サーバーなしでWordPress運用、できますよ。
sogaoh
PRO
0
110
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
200
Featured
See All Featured
Navigating Team Friction
lara
183
15k
For a Future-Friendly Web
brad_frost
175
9.4k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Scaling GitHub
holman
458
140k
How STYLIGHT went responsive
nonsquared
95
5.2k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
The Language of Interfaces
destraynor
154
24k
GitHub's CSS Performance
jonrohan
1030
460k
A Tale of Four Properties
chriscoyier
157
23k
Transcript
੬ऑੑཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ଜ
फߊ
ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવࢭʹऔΓΉɻ݄ʹɺ
Ϣ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझ ຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻ ʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ ༵όάϋϯλʔ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ ଜ फߊ ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜΖ͔ɾɾɾ
ϋοʜ ͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘
• ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ
R R R R R R
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ
ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉ʣϓϩμΫτ ΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽ ׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ • ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍
• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕Խ ڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴ • άάΕݟ͔ͭΔঢ়ଶΛࢦ͢ • IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ •
ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾαΠτ ࣾ֎ͷ ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞Γ ࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ
ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾ֎ͷ ։ൃऀ ͔ࣾΒͷΞΫηεͰ ͋ΕΕΔֻ͚ ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ • ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ • ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ ͔ͳใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞ ߈ܸ׆ಈ ใऩू ղੳͱධՁ ରԠࢧԉ
੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯά ࠃͷ੬ऑੑใ αʔϏε ୈੈ d
• ใ৴ͷλΠϜϥά • ։ൃݩʹΑΔใެ։͔ΒͷԆ • ใͷཏੑ • CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ
• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ ࠃͷ੬ऑੑใαʔϏεͷ՝ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑใΛೖख • ཏੑͷ্ •
ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ • ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू ୈੈ d
ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ͖ • ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ • ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDB ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू 7VMO%#
ୈੈ d ୈੈ ୈੈ +1$&35$$͔Βͷ θϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ • 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘ • ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀΈΜͳͬͯΔ • ຊͰϦΫϧʔτ͕ॳΊͯಋೖ
• APIఏڙ • N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲ VulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞ αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ͘ ࣗओ ن੍
• ੬ऑੑใΛ୳͢खؒΛݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ 305໊ʢ20185݄࣌ʣ • ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ •
։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ • ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹ ࣗओ ن੍ ࣗओ
ن੍
͞ΒͳΔվળࡦΛࡧத ୈੈ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠใ ୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ • ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ
• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •
৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚ ͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&D ݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹ ݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞՄೳʹ πʔϧԽͷར
ݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷԽʹΛΒͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED
TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍ πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾ Δ͞·ɾɾɾ RED TEAMͷࣾཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ • ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ
֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ
• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖੳʣ •
ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ৫Ͱͷࣗతͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".Λൃ ࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137
CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •
ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6& ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ͜͜ͷ࢟Λඳ͖͘
͕࣌དྷ͍ͯΔ ߴͳٕज़ਓࡐͷ࠾༻ ैདྷͷΛ͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕͍ͭͭ͋Δ ࠃઌਐେاۀ ࠃઌਐ*5ϕϯνϟʔ ࠃاۀฏۉ ੈք ख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ
ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ ࣍ͷख़ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱʁ ख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ
ٕज़ઐਓࡐ رগੑͱۀքχʔζͷ ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ ख़
"4*4 ͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ
՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ
• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ
• ίεύྑ͘ • ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτڪΕΔͷͰͳָ͘͠Ήͷ
None