SlideShare a Scribd company logo

Drupageddon 2 について

M
Masahiro Nishio

ドテカン(Drupal 定点観測) Drupal Meetup 羽田 #8(2018/04/20)でのプレゼン Drupal の脆弱性に関して 2018 年 3 ~ 4 月に起きたことと、そのまとめ

Technology
1 of 9
Download to read offline
Drupageddon 2 について 西尾正博 (本資料作成および追補 2018 年 05 月 17 日) ドテカン(Drupal 定点観測)2018/04/20 Drupal is a registered trademark of Dries Buytaert.
自己紹介 西尾 正博 株式会社アウトソーシングテクノロジー Drupal & HTML5 推進室 マーケティングプランナー Drupal 歴 約 10 年。元 Joomla! ユーザー。 2011 年からバイテルト氏のブログ記事を時々、日本語に翻訳・公開。 好きなもの:ポテトサラダ
このプレゼンの構成  主な出来事(2018 年 3月~4月)  ポイント  結論  関連情報
主な出来事(2018 年 3月~4月)  3/28(日本 3/29)Drupal セキュリティー チーム Drupal セキュリティー改修バージョン公開(重大性スコア 24/25 = ほぼ最高) https://www.drupal.org/sa-core-2018-002  4/12 Check Point Research 社 改修前バージョンへの攻撃手順を公開(協力:Dofinity 社。両社共イスラエル) 「Uncovering Drupalgeddon 2」: https://research.checkpoint.com/uncovering-drupalgeddon-2/  4/12 ヴィタリ ルドニク氏(ロシアのセキュリティー研究者) 改修前バージョンに対する攻撃の概念実証コード公開 「Proof-Of-Concept for CVE-2018-7600‘」: https://github.com/a2u/CVE-2018-7600/blob/master/exploit.py  上記 2 項目の数時間後から世界各地で攻撃が増大。それに従って報道も増大。 バイテルト氏「Acquia、SA-CORE-2018-002 の攻撃試行を 500,000 件ブロック」: http://www.webgogo.jp/blog/acquia-blocks-500000-attack-attempts-for-sa-core-2018-002
ポイント 1  セキュリティー チームからの連絡に従って普通にアップデートしていれば被害ゼロ (筆者勤務先および Drupal 関係者からの情報)。報道を正しく理解することが大事。  セキュリティーリリースの数と頻度は Drupal が特に多いわけではない (Drupal としては今年は例年より多めであることは確か)。 出典: CVE Details https://www.cvedetails.com/ Drupal 脆弱性統計 WordPress 脆弱性統計
ポイント 2  Drupal は「感染」する比率が圧倒的に低い。 出典:Sucuri 社「Hacked Website Report 2017」https://sucuri.net/reports/2017-hacked-website-report 感染した Web サイト プラットフォームの分布 – 2017 年版
結論  普通に管理しているかぎり、Drupal は極めて安全。
関連情報(時系列)  4/13: ZDNet 記事「Drupalの脆弱性を悪用可能な実証コードが公開、攻撃発生に警戒」 https://japan.zdnet.com/article/35117714/  4/18:(日本 4/19)Drupal 8 コア セキュリティー改修バージョン公開(重大性スコア 12/25。 CKEditor の脆弱性解消) https://www.drupal.org/sa-core-2018-003  4/18: 警視庁が注意喚起:「Drupal の脆弱性(CVE-2018-7600)を標的としたアクセスの観測につい て」(PDF: 220 KB) https://www.npa.go.jp/cyberpolice/detect/pdf/20180418.pdf  4/19: サイバーセキュリティクラウド社広報:「Drupal 脆弱性を突いた攻撃が急増 脆弱性を悪用する概 念実証(PoC)コード公開翌日に約3万件もの攻撃ログを観測」 https://prtimes.jp/main/html/rd/p/000000079.000009107.html  4/25(日本 4/26): Drupal コア セキュリティー改修バージョン公開(重大性スコア 20/25。 3/28 のバージョンと関連した問題を解消) https://www.drupal.org/sa-core-2018-004  5/2: 三井物産セキュアディレクション (MBSD) Drupal 脆弱性検証レポート(PDF) https://www.mbsd.jp/Whitepaper/CVE-2018-7600.pdf  5/8: IT Media「脆弱性放置のDrupalサイト、相次ぎ仮想通貨採掘攻撃の被害に」 http://www.itmedia.co.jp/enterprise/articles/1805/08/news057.html
関連情報(英語。時系列)  3/27: Cambridge Analytica website runs a critically vulnerable version of Drupal https://drupal.sh/cambridge-analytica-drupal-vulnerable  4/16: Drupalgeddon 2: Profiting from Mass Exploitation https://www.volexity.com/blog/2018/04/16/drupalgeddon-2-profiting-from-mass-exploitation/  4/17: Dries Buytaert: Acquia blocks 500,000 attack attempts for SA-CORE-2018-002 https://dri.es/acquia-blocks-500000-attack-attempts-for-sa-core-2018-002  4/27: Drupalgeddon Vulnerability: What is it? Are You Impacted? https://blog.rapid7.com/2018/04/27/drupalgeddon-vulnerability-what-is-it-are-you-impacted/  5/8: ‘DRUPALGEDDON 2’: CRYPTOJACKING MAKES A RETURN TO PROMINENCE http://bitcoinist.com/drupalgeddon-2-cryptojacking-makes-a-return-to-prominence/

Recommended

ヤフーでの働き方と担当業務について
ヤフーでの働き方と担当業務についてヤフーでの働き方と担当業務について
ヤフーでの働き方と担当業務について
Yahoo!デベロッパーネットワーク
 
Drupal 8 & 9 のリリース計画
Drupal 8 & 9 のリリース計画Drupal 8 & 9 のリリース計画
Drupal 8 & 9 のリリース計画
Masahiro Nishio
 
Atlassian Summit 2015でのDevOps関連の取り組みについて
Atlassian Summit 2015でのDevOps関連の取り組みについてAtlassian Summit 2015でのDevOps関連の取り組みについて
Atlassian Summit 2015でのDevOps関連の取り組みについて
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
エンタープライズにおける開発ツールの導入と活用推進
エンタープライズにおける開発ツールの導入と活用推進エンタープライズにおける開発ツールの導入と活用推進
エンタープライズにおける開発ツールの導入と活用推進
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
雲の上の継続的デリバリー - Cloudforce Japan 2012
雲の上の継続的デリバリー - Cloudforce Japan 2012雲の上の継続的デリバリー - Cloudforce Japan 2012
雲の上の継続的デリバリー - Cloudforce Japan 2012
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
Graal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJPGraal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJP
Yahoo!デベロッパーネットワーク
 
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
ファイザー製薬と Drupal
ファイザー製薬と Drupalファイザー製薬と Drupal
ファイザー製薬と Drupal
Masahiro Nishio
 

Recommended

ヤフーでの働き方と担当業務について
ヤフーでの働き方と担当業務についてヤフーでの働き方と担当業務について
ヤフーでの働き方と担当業務について
Yahoo!デベロッパーネットワーク
 
Drupal 8 & 9 のリリース計画
Drupal 8 & 9 のリリース計画Drupal 8 & 9 のリリース計画
Drupal 8 & 9 のリリース計画
Masahiro Nishio
 
Atlassian Summit 2015でのDevOps関連の取り組みについて
Atlassian Summit 2015でのDevOps関連の取り組みについてAtlassian Summit 2015でのDevOps関連の取り組みについて
Atlassian Summit 2015でのDevOps関連の取り組みについて
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
エンタープライズにおける開発ツールの導入と活用推進
エンタープライズにおける開発ツールの導入と活用推進エンタープライズにおける開発ツールの導入と活用推進
エンタープライズにおける開発ツールの導入と活用推進
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
雲の上の継続的デリバリー - Cloudforce Japan 2012
雲の上の継続的デリバリー - Cloudforce Japan 2012雲の上の継続的デリバリー - Cloudforce Japan 2012
雲の上の継続的デリバリー - Cloudforce Japan 2012
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
Graal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJPGraal を Solr で使ってみた #SolrJP
Graal を Solr で使ってみた #SolrJP
Yahoo!デベロッパーネットワーク
 
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
ソフトウェア品質向上の 変 2015江戸~今、改革のとき~ 20150204
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
 
ファイザー製薬と Drupal
ファイザー製薬と Drupalファイザー製薬と Drupal
ファイザー製薬と Drupal
Masahiro Nishio
 
Drupal の長期的な成長戦略
Drupal の長期的な成長戦略Drupal の長期的な成長戦略
Drupal の長期的な成長戦略
Masahiro Nishio
 
Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力
Masahiro Nishio
 
Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018
Masahiro Nishio
 
Drupal のセキュリティーについて
Drupal のセキュリティーについてDrupal のセキュリティーについて
Drupal のセキュリティーについて
Masahiro Nishio
 
Drupal Info Catalog 2018
Drupal Info Catalog 2018Drupal Info Catalog 2018
Drupal Info Catalog 2018
Masahiro Nishio
 
Drupageddon 2 について 2
Drupageddon 2 について 2Drupageddon 2 について 2
Drupageddon 2 について 2
Masahiro Nishio
 
Drupal 7、8、9 について
Drupal 7、8、9 についてDrupal 7、8、9 について
Drupal 7、8、9 について
Masahiro Nishio
 
Drupal 最新事情 June 2019
Drupal 最新事情 June 2019Drupal 最新事情 June 2019
Drupal 最新事情 June 2019
Masahiro Nishio
 
Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3
Masahiro Nishio
 
Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話
Masahiro Nishio
 
Drupal ISV 20160630
Drupal ISV 20160630Drupal ISV 20160630
Drupal ISV 20160630
Hidekazu Ikeda
 
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
BrainPad Inc.
 
アジャイル開発&TFS導入
アジャイル開発&TFS導入アジャイル開発&TFS導入
アジャイル開発&TFS導入
You&I
 
Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告
cch-robo
 
Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)
Shinya Nakajima
 
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
BrainPad Inc.
 
JIRA meets Tableau & AWS
JIRA meets Tableau & AWSJIRA meets Tableau & AWS
JIRA meets Tableau & AWS
Recruit Lifestyle Co., Ltd.
 
プロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディプロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディ
力也 伊原
 
ガートナー マジック クオドラント
ガートナー マジック クオドラントガートナー マジック クオドラント
ガートナー マジック クオドラント
Masahiro Nishio
 
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
満徳 関
 
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AIAcquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Masahiro Nishio
 
長期的な Web トレンドの話
長期的な Web トレンドの話長期的な Web トレンドの話
長期的な Web トレンドの話
Masahiro Nishio
 

More Related Content

Similar to Drupageddon 2 について

Drupal の長期的な成長戦略
Drupal の長期的な成長戦略Drupal の長期的な成長戦略
Drupal の長期的な成長戦略
Masahiro Nishio
 
Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力
Masahiro Nishio
 
Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018
Masahiro Nishio
 
Drupal のセキュリティーについて
Drupal のセキュリティーについてDrupal のセキュリティーについて
Drupal のセキュリティーについて
Masahiro Nishio
 
Drupal Info Catalog 2018
Drupal Info Catalog 2018Drupal Info Catalog 2018
Drupal Info Catalog 2018
Masahiro Nishio
 
Drupageddon 2 について 2
Drupageddon 2 について 2Drupageddon 2 について 2
Drupageddon 2 について 2
Masahiro Nishio
 
Drupal 7、8、9 について
Drupal 7、8、9 についてDrupal 7、8、9 について
Drupal 7、8、9 について
Masahiro Nishio
 
Drupal 最新事情 June 2019
Drupal 最新事情 June 2019Drupal 最新事情 June 2019
Drupal 最新事情 June 2019
Masahiro Nishio
 
Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3
Masahiro Nishio
 
Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話
Masahiro Nishio
 
Drupal ISV 20160630
Drupal ISV 20160630Drupal ISV 20160630
Drupal ISV 20160630
Hidekazu Ikeda
 
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
BrainPad Inc.
 
アジャイル開発&TFS導入
アジャイル開発&TFS導入アジャイル開発&TFS導入
アジャイル開発&TFS導入
You&I
 
Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告
cch-robo
 
Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)
Shinya Nakajima
 
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
BrainPad Inc.
 
JIRA meets Tableau & AWS
JIRA meets Tableau & AWSJIRA meets Tableau & AWS
JIRA meets Tableau & AWS
Recruit Lifestyle Co., Ltd.
 
プロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディプロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディ
力也 伊原
 
ガートナー マジック クオドラント
ガートナー マジック クオドラントガートナー マジック クオドラント
ガートナー マジック クオドラント
Masahiro Nishio
 
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
満徳 関
 

Similar to Drupageddon 2 について (20)

Drupal の長期的な成長戦略
Drupal の長期的な成長戦略Drupal の長期的な成長戦略
Drupal の長期的な成長戦略
 
Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力Drupal 8.5.0 の魅力
Drupal 8.5.0 の魅力
 
Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018Drupal ビジネス動向調査 2018
Drupal ビジネス動向調査 2018
 
Drupal のセキュリティーについて
Drupal のセキュリティーについてDrupal のセキュリティーについて
Drupal のセキュリティーについて
 
Drupal Info Catalog 2018
Drupal Info Catalog 2018Drupal Info Catalog 2018
Drupal Info Catalog 2018
 
Drupageddon 2 について 2
Drupageddon 2 について 2Drupageddon 2 について 2
Drupageddon 2 について 2
 
Drupal 7、8、9 について
Drupal 7、8、9 についてDrupal 7、8、9 について
Drupal 7、8、9 について
 
Drupal 最新事情 June 2019
Drupal 最新事情 June 2019Drupal 最新事情 June 2019
Drupal 最新事情 June 2019
 
Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3Drupal 最新情報集 2019/3
Drupal 最新情報集 2019/3
 
Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話Drupalニュースてんこ盛り - 2019年9~12月の話
Drupalニュースてんこ盛り - 2019年9~12月の話
 
Drupal ISV 20160630
Drupal ISV 20160630Drupal ISV 20160630
Drupal ISV 20160630
 
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
エンジニア勉強会資料_②エンジニア・デザイナ・プロダクトオーナーが推薦するプロトタイプドリブン開発
 
アジャイル開発&TFS導入
アジャイル開発&TFS導入アジャイル開発&TFS導入
アジャイル開発&TFS導入
 
Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告Google I/O 2021 Flutter 全体報告
Google I/O 2021 Flutter 全体報告
 
Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)Visual Studio App Centerで始めるCI/CD(Android)
Visual Studio App Centerで始めるCI/CD(Android)
 
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
エンジニア勉強会資料_⑤広告プロダクトとプラットフォームの開発
 
JIRA meets Tableau & AWS
JIRA meets Tableau & AWSJIRA meets Tableau & AWS
JIRA meets Tableau & AWS
 
プロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディプロトタイピングツール投入のケーススタディ
プロトタイピングツール投入のケーススタディ
 
ガートナー マジック クオドラント
ガートナー マジック クオドラントガートナー マジック クオドラント
ガートナー マジック クオドラント
 
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
超初心者向け!Visual Studio + GitHub + Source Treeで始めるアプリケーション開発
 

More from Masahiro Nishio

Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AIAcquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Masahiro Nishio
 
長期的な Web トレンドの話
長期的な Web トレンドの話長期的な Web トレンドの話
長期的な Web トレンドの話
Masahiro Nishio
 
ガートナー マジック クオドラント 2019
ガートナー マジック クオドラント 2019ガートナー マジック クオドラント 2019
ガートナー マジック クオドラント 2019
Masahiro Nishio
 
明快!Drupal と Acquia の強み
明快!Drupal と Acquia の強み明快!Drupal と Acquia の強み
明快!Drupal と Acquia の強み
Masahiro Nishio
 
Drupal 最新事情 July 2019
Drupal 最新事情 July 2019Drupal 最新事情 July 2019
Drupal 最新事情 July 2019
Masahiro Nishio
 
Acquia、Mautic を買収
Acquia、Mautic を買収Acquia、Mautic を買収
Acquia、Mautic を買収
Masahiro Nishio
 
2019 年版 Drupal デカップリング
2019 年版 Drupal デカップリング2019 年版 Drupal デカップリング
2019 年版 Drupal デカップリング
Masahiro Nishio
 
Drupal のせいじゃなかった!
Drupal のせいじゃなかった!Drupal のせいじゃなかった!
Drupal のせいじゃなかった!
Masahiro Nishio
 
明快!Drupal の強みと弱み
明快!Drupal の強みと弱み明快!Drupal の強みと弱み
明快!Drupal の強みと弱み
Masahiro Nishio
 

More from Masahiro Nishio (9)

Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AIAcquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
Acquia、AgilOne を買収 - Acquia to acquire AgilOne to solve data challenges with AI
 
長期的な Web トレンドの話
長期的な Web トレンドの話長期的な Web トレンドの話
長期的な Web トレンドの話
 
ガートナー マジック クオドラント 2019
ガートナー マジック クオドラント 2019ガートナー マジック クオドラント 2019
ガートナー マジック クオドラント 2019
 
明快!Drupal と Acquia の強み
明快!Drupal と Acquia の強み明快!Drupal と Acquia の強み
明快!Drupal と Acquia の強み
 
Drupal 最新事情 July 2019
Drupal 最新事情 July 2019Drupal 最新事情 July 2019
Drupal 最新事情 July 2019
 
Acquia、Mautic を買収
Acquia、Mautic を買収Acquia、Mautic を買収
Acquia、Mautic を買収
 
2019 年版 Drupal デカップリング
2019 年版 Drupal デカップリング2019 年版 Drupal デカップリング
2019 年版 Drupal デカップリング
 
Drupal のせいじゃなかった!
Drupal のせいじゃなかった!Drupal のせいじゃなかった!
Drupal のせいじゃなかった!
 
明快!Drupal の強みと弱み
明快!Drupal の強みと弱み明快!Drupal の強みと弱み
明快!Drupal の強みと弱み
 

Recently uploaded

FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
CRI Japan, Inc.
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
harmonylab
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
Matsushita Laboratory
 
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさJSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
0207sukipio
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
Matsushita Laboratory
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
Toru Tamaki
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
Fukuoka Institute of Technology
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
chiefujita1
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
Yuuitirou528 default
 

Recently uploaded (14)

FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
 
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさJSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
 

Drupageddon 2 について

  • 1. Drupageddon 2 について 西尾正博 (本資料作成および追補 2018 年 05 月 17 日) ドテカン(Drupal 定点観測)2018/04/20 Drupal is a registered trademark of Dries Buytaert.
  • 2. 自己紹介 西尾 正博 株式会社アウトソーシングテクノロジー Drupal & HTML5 推進室 マーケティングプランナー Drupal 歴 約 10 年。元 Joomla! ユーザー。 2011 年からバイテルト氏のブログ記事を時々、日本語に翻訳・公開。 好きなもの:ポテトサラダ
  • 3. このプレゼンの構成  主な出来事(2018 年 3月~4月)  ポイント  結論  関連情報
  • 4. 主な出来事(2018 年 3月~4月)  3/28(日本 3/29)Drupal セキュリティー チーム Drupal セキュリティー改修バージョン公開(重大性スコア 24/25 = ほぼ最高) https://www.drupal.org/sa-core-2018-002  4/12 Check Point Research 社 改修前バージョンへの攻撃手順を公開(協力:Dofinity 社。両社共イスラエル) 「Uncovering Drupalgeddon 2」: https://research.checkpoint.com/uncovering-drupalgeddon-2/  4/12 ヴィタリ ルドニク氏(ロシアのセキュリティー研究者) 改修前バージョンに対する攻撃の概念実証コード公開 「Proof-Of-Concept for CVE-2018-7600‘」: https://github.com/a2u/CVE-2018-7600/blob/master/exploit.py  上記 2 項目の数時間後から世界各地で攻撃が増大。それに従って報道も増大。 バイテルト氏「Acquia、SA-CORE-2018-002 の攻撃試行を 500,000 件ブロック」: http://www.webgogo.jp/blog/acquia-blocks-500000-attack-attempts-for-sa-core-2018-002
  • 5. ポイント 1  セキュリティー チームからの連絡に従って普通にアップデートしていれば被害ゼロ (筆者勤務先および Drupal 関係者からの情報)。報道を正しく理解することが大事。  セキュリティーリリースの数と頻度は Drupal が特に多いわけではない (Drupal としては今年は例年より多めであることは確か)。 出典: CVE Details https://www.cvedetails.com/ Drupal 脆弱性統計 WordPress 脆弱性統計
  • 6. ポイント 2  Drupal は「感染」する比率が圧倒的に低い。 出典:Sucuri 社「Hacked Website Report 2017」https://sucuri.net/reports/2017-hacked-website-report 感染した Web サイト プラットフォームの分布 – 2017 年版
  • 8. 関連情報(時系列)  4/13: ZDNet 記事「Drupalの脆弱性を悪用可能な実証コードが公開、攻撃発生に警戒」 https://japan.zdnet.com/article/35117714/  4/18:(日本 4/19)Drupal 8 コア セキュリティー改修バージョン公開(重大性スコア 12/25。 CKEditor の脆弱性解消) https://www.drupal.org/sa-core-2018-003  4/18: 警視庁が注意喚起:「Drupal の脆弱性(CVE-2018-7600)を標的としたアクセスの観測につい て」(PDF: 220 KB) https://www.npa.go.jp/cyberpolice/detect/pdf/20180418.pdf  4/19: サイバーセキュリティクラウド社広報:「Drupal 脆弱性を突いた攻撃が急増 脆弱性を悪用する概 念実証(PoC)コード公開翌日に約3万件もの攻撃ログを観測」 https://prtimes.jp/main/html/rd/p/000000079.000009107.html  4/25(日本 4/26): Drupal コア セキュリティー改修バージョン公開(重大性スコア 20/25。 3/28 のバージョンと関連した問題を解消) https://www.drupal.org/sa-core-2018-004  5/2: 三井物産セキュアディレクション (MBSD) Drupal 脆弱性検証レポート(PDF) https://www.mbsd.jp/Whitepaper/CVE-2018-7600.pdf  5/8: IT Media「脆弱性放置のDrupalサイト、相次ぎ仮想通貨採掘攻撃の被害に」 http://www.itmedia.co.jp/enterprise/articles/1805/08/news057.html
  • 9. 関連情報(英語。時系列)  3/27: Cambridge Analytica website runs a critically vulnerable version of Drupal https://drupal.sh/cambridge-analytica-drupal-vulnerable  4/16: Drupalgeddon 2: Profiting from Mass Exploitation https://www.volexity.com/blog/2018/04/16/drupalgeddon-2-profiting-from-mass-exploitation/  4/17: Dries Buytaert: Acquia blocks 500,000 attack attempts for SA-CORE-2018-002 https://dri.es/acquia-blocks-500000-attack-attempts-for-sa-core-2018-002  4/27: Drupalgeddon Vulnerability: What is it? Are You Impacted? https://blog.rapid7.com/2018/04/27/drupalgeddon-vulnerability-what-is-it-are-you-impacted/  5/8: ‘DRUPALGEDDON 2’: CRYPTOJACKING MAKES A RETURN TO PROMINENCE http://bitcoinist.com/drupalgeddon-2-cryptojacking-makes-a-return-to-prominence/