Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性管理のベストプラクティスとスレットモニタリング
Search
Recruit Technologies
June 13, 2018
Technology
24
8.7k
脆弱性管理のベストプラクティスとスレットモニタリング
Interlop Tokyo 2018での西村の講演資料です。
Recruit Technologies
June 13, 2018
Tweet
Share
More Decks by Recruit Technologies
See All by Recruit Technologies
障害はチャンスだ! 障害を前向きに捉える
rtechkouhou
1
700
Flutter移行の苦労と、乗り越えた先に得られたもの
rtechkouhou
3
12k
ここ数年間のタウンワークiOSアプリのエンジニアのチャレンジ
rtechkouhou
1
1.5k
大規模環境をAWS Transit Gatewayで設計/移行する前に考える3つのポイントと移行への挑戦
rtechkouhou
1
1.9k
【61期 新人BootCamp】TOC入門
rtechkouhou
3
42k
【RTC新人研修 】 TPS
rtechkouhou
1
41k
Android Boot Camp 2020
rtechkouhou
0
41k
HTML/CSS
rtechkouhou
10
51k
TypeScript Bootcamp 2020
rtechkouhou
9
46k
Other Decks in Technology
See All in Technology
Geminiとv0による高速プロトタイピング
shinya337
0
180
Fabric + Databricks 2025.6 の最新情報ピックアップ
ryomaru0825
1
150
本が全く読めなかった過去の自分へ
genshun9
0
660
rubygem開発で鍛える設計力
joker1007
2
260
論文紹介:LLMDet (CVPR2025 Highlight)
tattaka
0
200
強化されたAmazon Location Serviceによる新機能と開発者体験
dayjournal
3
230
Core Audio tapを使ったリアルタイム音声処理のお話
yuta0306
0
150
自律的なスケーリング手法FASTにおけるVPoEとしてのアカウンタビリティ / dev-productivity-con-2025
yoshikiiida
0
220
PHPでWebブラウザのレンダリングエンジンを実装する
dip_tech
PRO
0
210
TechLION vol.41~MySQLユーザ会のほうから来ました / techlion41_mysql
sakaik
0
200
MySQL5.6から8.4へ 戦いの記録
kyoshidaxx
1
290
Tech-Verse 2025 Keynote
lycorptech_jp
PRO
0
1.2k
Featured
See All Featured
KATA
mclloyd
30
14k
Stop Working from a Prison Cell
hatefulcrawdad
270
20k
Navigating Team Friction
lara
187
15k
Designing Experiences People Love
moore
142
24k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
How STYLIGHT went responsive
nonsquared
100
5.6k
Documentation Writing (for coders)
carmenintech
72
4.9k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
What's in a price? How to price your products and services
michaelherold
246
12k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
The Cost Of JavaScript in 2023
addyosmani
51
8.5k
Transcript
੬ऑੑཧͷϕετϓϥΫςΟεͱ εϨοτϞχλϦϯά Interop Tokyo 2018 גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔ ଜ
फߊ
ଜ फߊ גࣜձࣾϦΫϧʔτςΫϊϩδʔζ αΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωʔδϟʔ ࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟί ϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻ ϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނ ͷະવࢭʹऔΓΉɻ݄ʹɺ
Ϣ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝ ʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझ ຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻ ʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻ ஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ $ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ ༵όάϋϯλʔ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂ יࢤా তً ϦΫϧʔτςΫϊϩδʔζ ࣥߦһ ݩ ָఱαΠόʔ൜ࡑରࡦࣨ ଜ फߊ ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ ͋ΔΜΖ͔ɾɾɾ
ϋοʜ ͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ • ίετύϑΥʔϚϯεྑ͘
• ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ Hack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ ͜Ε·Ͱ ݱࡏ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗ
R R R R R R
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
ݱࡏ ͜Ε·Ͱ ϧʔϧͳͷͰ͍ͬͯͩ͘͞ Θ͔Γ·ͨ͠ R R
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔ ηΩϡϦςΟ৫ اըɾཧ ࣾһ ࣾһ ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗ R R
͜Ε·Ͱ ݱࡏ ҙຯͳ͍͠໘ͳΜͰ͚͢Ͳ R R R Կނ͜Ε͕ϧʔϧͳͷ͔ આ໌ͯ͠ཉ͍͠ΜͰ͚͢Ͳ R
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍ͯͨ͠ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ ࢲୡ
ࢧԉͱڠۀ ηΩϡϦςΟࢪࡦʹ ϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ ߈ܸऀͷ օ͞Μ ֤ࣾ ౷੍෦ ࣄۀ୲ऀ ։ൃऀ ࢲୡ ΫΦϦςΟϚωδϝϯτ αΠόʔηΩϡϦςΟ
ΤϯδχΞϦϯά෦ ࢲୡ ʢ݉ʣϓϩμΫτ ΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽ ׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ • 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ • Webͷڭࡐʹ͋Γ͕ͪͳ • ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘ • ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍
• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕Խ ڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ • ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴ • άάΕݟ͔ͭΔঢ়ଶΛࢦ͢ • IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ •
ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ • ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌ ϦΫϧʔτݻ༗ͷ ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾαΠτ ࣾ֎ͷ ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։ • AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε • GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞Γ ࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣ ϦΫϧʔτݻ༗ͷ
ηΩϡϦςΟΨΠυ ݴޠʗڥผͷ ηΩϡϦςΟΨΠυ ࣾ֎ͷ ։ൃऀ ͔ࣾΒͷΞΫηεͰ ͋ΕΕΔֻ͚ ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ • ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ • ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ • ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ • 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ ͔ͳใల։͕ٻΊΒΕΔ ߈ܸίʔυ࡞ ߈ܸ׆ಈ ใऩू ղੳͱධՁ ରԠࢧԉ
੬ऑੑͷղੳ ߈ܸऀ $4*35 ੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯά ࠃͷ੬ऑੑใ αʔϏε ୈੈ d
• ใ৴ͷλΠϜϥά • ։ൃݩʹΑΔใެ։͔ΒͷԆ • ใͷཏੑ • CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚ • ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ
• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ ࠃͷ੬ऑੑใαʔϏεͷ՝ $744ͳΒଈ࣌ରԠͱ͍ͬͨ ࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ • ੬ऑੑͷҰ࣍ใΛపఈऩू • JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ ެදલͷ੬ऑੑใΛೖख • ཏੑͷ্ •
ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ • JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ • ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ • ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁ ͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪ ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू ୈੈ d
ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ • νʔϜϓϨʔʹෆ͖ • ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ • ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDB ࠃͷ੬ऑੑใ αʔϏε 5XJUUFSͰใऩू +1$&35$$͔Βͷ θϩσΠใ ݸͷใݯ͔Β Ұ࣍ใΛऩू 7VMO%#
ୈੈ d ୈੈ ୈੈ +1$&35$$͔Βͷ θϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ • 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘ • ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ • ੈքͷஶ໊اۀΈΜͳͬͯΔ • ຊͰϦΫϧʔτ͕ॳΊͯಋೖ
• APIఏڙ • N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲ VulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞ αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿ͘ ࣗओ ن੍
• ੬ऑੑใΛ୳͢खؒΛݮ • ZEITA͕ຖேڭ͑ͯ͘ΕΔ • νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্ • ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖Δ VulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ • ϑΥϩʔ 305໊ʢ20185݄࣌ʣ • ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ • ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ •
։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ • Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ • ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔ ZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ • ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹ ࣗओ ن੍ ࣗओ
ن੍
͞ΒͳΔվળࡦΛࡧத ୈੈ ։ൃத 7VMO%# +1$&35$$͔Βͷ θϩσΠใ ୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ • 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ • ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ • Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ • ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ
• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங • IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟ ௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪ • ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ • Web੬ऑੑݕࠪ •
৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ • ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚ ͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&D ݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆ ݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹ ݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰ IPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ • ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ • ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ • CIπʔϧͱͷAPI࿈ܞՄೳʹ πʔϧԽͷར
ݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ • ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ • ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰ ݕࠪͷԽʹΛΒͳ͍ • ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ • RED
TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞ • ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍ πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠ • ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾ Δ͞·ɾɾɾ RED TEAMͷࣾཹֶΛ։࢝ • ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕ RED TEAMͰ߈ܸϚγʔϯʹվ • ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ
֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔ ϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճ ग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ • 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ • ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ • CIʹΑΔܧଓతͳ੬ऑੑݕࠪ
• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ • Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ • ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭ SoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧ اը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ • ઃܭϦεΫϨϏϡʔ ʢڴҖੳʣ •
ΞʔΩϨϏϡʔ • ίʔυϨϏϡʔ • ੬ऑੑͷमਖ਼ࢧԉ • ੬ऑੑεΩϟφ$*࿈ܞ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑݕࠪ • ։ൃऀҭʢ0+5ʣ • ੬ऑੑͷૣظܯռ • ։ൃ৫Ͱͷࣗతͳ %FW4FD0QTମ੍ߏஙࢧԉ Sprintʢ1~4िؒʣ কདྷతͳ։ൃମ੍ͷ มԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛ ΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷ ٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟ ΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ ߈ܸͷඪతʹͳΔڪΕ
ϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕ ηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿Ճ ࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".Λൃ ࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻ ϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟ ϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386 CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137
CVE-2016-2817 CVE-2017-5463 CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788 CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789 CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815 CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816 CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817 CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818 CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819 ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ • طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢ Δ • ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λ ߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ • ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛ ϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ • JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ •
ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍ ڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6& ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ͜͜ͷ࢟Λඳ͖͘
͕࣌དྷ͍ͯΔ ߴͳٕज़ਓࡐͷ࠾༻ ैདྷͷΛ͑Δ׆ಈΛػʹ Ұஈ্ͷεςʔδʹਐΉ ४උ͕͍ͭͭ͋Δ ࠃઌਐେاۀ ࠃઌਐ*5ϕϯνϟʔ ࠃاۀฏۉ ੈք ख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔ ٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔ Ұ෦ۀͷԽ ϕϯμʔ࣭ཧʹணख ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ
ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ ࣍ͷख़ͰٻΊΒΕΔ ηΩϡϦςΟਓࡐͱʁ ख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓ Ҏ߱ʹίϞσΟςΟԽ͠͏ΔྖҬ ଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐ ܦӦͱͷڮ͠ਓࡐ ʴ ηΩϡϦςΟࠪਓࡐ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ
ٕज़ઐਓࡐ رগੑͱۀքχʔζͷ ํΛอͯΔྖҬ ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ ՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ ίϞσΟςΟԽͷ ख़
"4*4 ͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢Δ ηΩϡϦςΟٕज़ͷ Θ͔Δίϯαϧਓࡐ ʴ গͷηΩϡϦςΟ ٕज़ઐਓࡐ 50#& ΤϯδχΞϦϯάྗΛۦͯ͠ ࣗΒͷखͰ͋ΒΏΔ
՝ղܾΛߦ͏ ηΩϡϦςΟˍΤϯδχΞਓࡐ γϑτ͢Δ ख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ • ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ • ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ • ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ • ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ
• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά • ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ • ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH • ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠ • ߹ཧੑଛͳΘͳ͍··ʹ • ςΫχΧϧʹਖ਼͘͠ • ඒ͘͠εςΩʹ
• ίεύྑ͘ • ͍͘͢ • ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱ γϑτڪΕΔͷͰͳָ͘͠Ήͷ
None