「塩尻セキュリティ・ウィークエンド(SSWE)2018」 http://www.ndensan.co.jp/information/sswe2018.html 2018年8月25日(土)～26日(日)に塩尻情報プラザで開催されたSSWE2018の No.2-2「夏休みのサイバー自由研究 (1)DockerコンテナでVuls!」のスライドです。

1. 夏休みのサイバー自由研究
(1)DockerコンテナでVuls！
塩尻セキュリティ・ウィークエンド(SSWE)
２日目：2018年8月26日(日曜日)
会場：塩尻情報プラザ
©2018 Shinichiro Ohhara 12018/8/22

2. 大原 慎一郎
ohhara@shiojiri.com
（有）トラストネットワークス
長野県塩尻市 塩尻インキュベーションプラザ１０８号室
●ITシステムに関するネットワークインフラ構築、サーバー構築、クラウド構築
●及びその運用管理、付随するITセキュリティ対応
自己紹介
©2018 Shinichiro Ohhara
IPA登録のセキュリティプレゼンター
一般社団法人セキュリティ対策推進協議会 セキュリティサポーター
サイバーセキュリティ普及啓発の一環として、毎年2月から3月にかけて官民連携サ
イバーセキュリティ月間を政府の内閣サイバーセキュリティセンターが中心となって
行っています。
長野県塩尻市にて関連イベントとして2016年3月、2017年2月、2018年2月に
サイバーセキュリティ勉強会を関係各所のご協力にて開催しました。
また発起人として情報セキュリティの講師も担当。
2018/8/22 2

3. ©2018 Shinichiro Ohhara2018/8/22 3

4. アジェンダ
2018/8/22 ©2018 Shinichiro Ohhara 4
• 脆弱性とは？
• セキュリティ・アップデート
• Linuxサーバーのアップデート
• セキュリティパッチの適用箇所
• 脆弱性データベース
• 脆弱性診断
• 脆弱性検知ツール「Vuls」
• ハンズオン実習

5. 脆弱性とは？
2018/8/22 ©2018 Shinichiro Ohhara 5
• 一般的には「もろくて弱い」事を指しますが、コ
ンピュータ・ネットワークの分野ではソフトウェア
の欠陥・弱点として「セキュリティホール」とも呼
ばれます。
• 脆弱性を悪用してマルウェア（悪意を持ったソ
フトウェアの総称）などで悪意を持ったハッカー
によりサイバー攻撃が仕掛けられます。

6. 脆弱性とは？
2018/8/22 ©2018 Shinichiro Ohhara 6
• 脆弱性の原因
– システム設計の不備
– 想定外の方法に対する対策不足
– プログラムコードのミス
– 故意に仕掛けられたもの
– 管理運用の人為的なミス
• 人間が作成する以上は脆弱性は無くならない

7. セキュリティ・アップデート
2018/8/22 ©2018 Shinichiro Ohhara 7
• ソフトウェアのアップデート
– 常に最新状態に更新（セキュリティパッチ適用）
– サイバーセキュリティ対策の最優先事項
– セキュリティ専門家が重視している対策方法
• 使用しないソフトウェアは削除
• サポート期間が終わったソフトウェアは
使用しない

8. Linuxサーバーのアップデート
2018/8/22 ©2018 Shinichiro Ohhara 8
• セキュリティ対策のアップデートしてますか？
• 脆弱性が放置されたLinux
VPSやクラウドのインスタンスなどのサーバー
IoT機器に組み込まれたLinux
• 踏み台として悪用されているLinuxサーバー
DDoS攻撃の踏み台としてボットネットに悪用
スパムやマルウェアの配布元に悪用

9. セキュリティパッチの適用箇所
2018/8/22 ©2018 Shinichiro Ohhara 9
• システム構成に応じて対応が違う
ホストOS
仮想マシンOS コンテナ
SYS APP
LIB/DLL
SYS APP
LIB/DLL
SYS APP
LIB/DLL
User APP
User APP User APP

10. 脆弱性データベース
2018/8/22 ©2018 Shinichiro Ohhara 10
• National Vulnerability Database (NVD)
https://nvd.nist.gov/
アメリカ国立標準技術研究所（National Institute of Standards and
Technology、通称NIST)が管理している脆弱性情報データベース
• Japan Vulnerability Notes (JVN)
http://jvn.jp
JPCERT/CCと情報処理推進機構（IPA）が共同で管理している日本国内
でJPCERT/CCに申請のあった脆弱性情報データベース
• JVN iPedia
http://jvndb.jvn.jp/
JVNと同様に共同管理、国内外問わず脆弱性情報を収集、蓄積すること
を目的とした脆弱性情報データベース

11. 脆弱性データベース
2018/8/22 ©2018 Shinichiro Ohhara 11
• 共通脆弱性識別子(CVE)
Common Vulnerabilities and Exposures
米国政府の支援を受けた非営利団体のMITRE社
(http://www.mitre.org/)が主要な脆弱性情報サイ
トと連携して脆弱性情報の収集と重複の無い統一な
採番を行っています。
• 採番形式： CVE-西暦-連番
• CVE識別番号管理サイト
(http://cve.mitre.org/)

12. 脆弱性データベース
2018/8/22 ©2018 Shinichiro Ohhara 12
• 共通脆弱性評価システム(CVSS)
Common Vulnerability Scoring System
脆弱性の固有の深刻度を数値で示す
• CVSSv2と2015年6月10日に公開されたCVSSv3
がある
CVSS V2 CVSS V3
注意(LOW) 0.0～3.9 注意(LOW) 0.1～3.9
警告(MEDIUM) 4.0～6.9 警告(MEDIUM) 4.0～6.9
危険(HIGH) 7.0～10.0 重要(HIGH) 7.0～8.9
緊急(CRITICAL) 9.0～10.0

13. 脆弱性診断
2018/8/22 ©2018 Shinichiro Ohhara 13
• 注意事項！
本資料に記載の行為を自身の管理外のネットワー
クやコンピューターに実行した場合には、サイバー
攻撃と判断され法的責任を負う場合があります。
自身の管理下であっても関係者に事前の承諾が
必要になる場合があります。
診断結果もセキュリティ情報になる為、関係者以
外には公開しない事を推奨します。
本資料に関わる行為に一切責任は負いません。

14. 脆弱性診断
2018/8/22 ©2018 Shinichiro Ohhara 14
• 脆弱性診断スキャナ
セキュリティ対策パッチの適用状況を調査
脆弱性データベースに基いて集計
他にWebアプリケーションの動作調査などもある
• 定期的な実施が望ましい
日々新しい脆弱性が発見される
新たに追加したソフトウェアに診断が必要
緊急時には随時実施
• セキュリティパッチの実施は別手段で

15. 脆弱性診断
2018/8/22 ©2018 Shinichiro Ohhara 15
• サーバー・ネットワーク脆弱性診断スキャナ
Nmap
Metasploit
Nessus
OpenVAS
Vuls
• Webアプリケーション脆弱性診断スキャナ
OWASP Zed Attack Proxy

16. 脆弱性検知ツール「Vuls」
2018/8/22 ©2018 Shinichiro Ohhara 16

17. 脆弱性検知ツール「Vuls」
2018/8/22 ©2018 Shinichiro Ohhara 17
• VULnerability Scanner (Vuls)
https://github.com/future-architect/vuls
Linuxサーバー用の脆弱性スキャナ
Debian、CentOS、Amazon Linux、RHEL、Oracle
Linux、SUSE Enterprise LinuxおよびRaspbian、
FreeBSDに対応
クラウド、オンプレミス、コンテナ(Docker)に対応
エージェントレス
非破壊スキャン(SSHでコマンド発行するだけ)
開発言語go
開発はフューチャーアーキテクト社(Kota Kanbe氏)

18. ハンズオン実習
2018/8/22 ©2018 Shinichiro Ohhara 18
• 別途配布の資料（非公開）を参照
• ハンズオン実習用のVPSを各自に用意
• 各自がVPSにSSHにてログイン
• コンテナ環境のDockerをセットアップ
• DockerコンテナのVuls環境を構築
• 自身のVPSをVulsで診断し結果を考察