20160916 MetalSummit@Shibuya

1. 2016/09/16
@Typhon666_death

2. 自己紹介
2
 Typhon（テポ)です。
 セキュリティエンジニアやってます。
 趣味：
ヘドバン出来る音楽きいて、暴れる！
勉強(セキュリティ、数学、AI、言語)
 活動コミュニティ：
OWASP Promotion Team / Security-JAWS / 全脳アーキテクチャ若手の会 / AISECjp

3. 自己紹介
3
 初めて聴いたメタル：
99のANNの後、チューン変えてかかった
和田誠のキャプテンロックでのAngraのCarry On
 好きなジャンルとバンド：
Deathrash: The Haunted / Dew-Scented / The Crown / Hate Sphere / Darken
Melodic Death Metal: Carcass / At The Gates / Dark Tranquility / Blood Stain Child
Black Metal: Emperor / 1349 / Stormlord / Naglfar / Funeries Nocturnum / Murduk
Metal Core: Lamb Of God / Unearth / As I Lay Dying / Shadows Fall / Crossfaith
Thrash Metal: Slayer / Destruction / Overkill / Metallica / Testament / Exodus
Grind Core: Napalm Death / Exhumed / Disgorge / Cock And Ball Torture

4. ここから先、ネタです。
技術ネタでもないです。

5. 近年発見された脆弱性は
何かしらメタルと関わりがある。
CVE番号から何のバンドと
関係あるのか考えよう。

6. CVE-2014-6271
• 各種Linux、Mac OS Xに標準搭載されているシェルの1種である
bashに存在する脆弱性です。
• 攻撃者は外部から遠隔でシェルコマンドを実行することが可能
。
https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

7. • 国：イングランド
• ジャンル：Industrial Metal / Digital Metal
• BandSite：http://theizunadrop.com/
• 現在、The Izuna Drop という
名前に変えて活動中

8. CVE-2015-3456
• Red Hat Product Security チームは、KVM/QEMU および Xen ハイパ
ーバイザーの QEMU コンポーネントに実装されるフロッピーデ
ィスクコントローラー (FDC) エミュレーションに影響を与える '
バッファーオーバーフロー' の脆弱性
https://access.redhat.com/ja/node/1446873

9. • 国：イングランド
• ジャンル：Thrash Metal / Black Metal
• BandSite：http://www.venomslegions.com/
• Thrash Domination 06に出演予定
だったのだが、Voのクロノスが
肺炎でこれなくなった。そこから
来日せず…。

10. CVE-2015-0235
• 多くの Linux ディストリビューションに含まれるライブラリである The GNU C Library (以
下、glibc) にバッファオーバーフローの脆弱性が存在します。この脆弱性を悪用された
場合、アプリケーションの異常終了や、任意のコードが実行可能になる可能性があり
ます。
この脆弱性は、ソフトウェアが glibc を使用している場合に影響を受ける可能性があり
ますが、実際に影響を受けるかどうかは 該当するソフトウェアにおける glibc の使用方
法に依存します。なお、本脆弱性は、gethostbyname 関数に問題があるとの情報があり
ます。
また、現時点では本脆弱性を悪用した攻撃が行われたという情報はありませんが、今
後、攻撃される可能性がありますので、サーバ管理者は対策の実施を検討してくださ
い。
https://www.ipa.go.jp/security/announce/20150129-glibc.html

11. Ghost
• 国：スウェーデン
• ジャンル：Doom Metal / Heavy Metal
• BandSite: http://ghost-official.com/
• パパ・エメリトゥス2世△→

12. CVE-2014-0160
• オープンソースの暗号通信ライブラリである OpenSSL に、情報
漏えいの脆弱性が発見された。
この脆弱性を悪用された場合、本来秘匿すべき情報（暗号通信
の内容や、暗号に使う秘密鍵など）が漏えいする可能性がある
。https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

13. Heartbleed
• 国：US
• ジャンル：Metal Core / Hard Core
• BandSite：http://hatebreed.com/
• いわずとしれたメタルコアの先駆者！

14. CVE-2014-3566
• SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱
性が存在します。サーバ、クライアント間の通信において、SSL
3.0 を使用している場合、通信の一部が第三者に漏えいする可能
性があります。
ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や
、攻撃対象に大量の通信を発生させるなど一定の条件が必要に
なります。そのためただちに悪用可能な脆弱性ではありません
。
サーバ管理者および利用者は対策の要否を検討し、必要に応じ
て後述の対策を実施してください。
https://www.ipa.go.jp/security/announce/20141017-ssl.html

15. POODLE
• 国：スウェーデン
• ジャンル：Hard Rock / Glam Rock
• BandSite: http://www.poodles.se/
• Padding Oracle On Downgraded Legacy Encryption なんてのは後々
考えたもの！(ぇ

16. CVE-2016-0800
• Bleichenbacher のパディングオラクル攻撃の新たな手法です。
攻撃者は SSLv2 をサポートしている脆弱なサーバから秘密鍵を
入手し、暗号化された通信内容を解読することが可能です。TLS
通信であっても、SSLv2 の通信と同一の秘密鍵を使用していた
場合、攻撃者は通信内容を解読することが可能です。
http://jvn.jp/vu/JVNVU90617353/

17. DROWN
• 国：US
• ジャンル：Industrial / Darkwave
• BandSite: http://drownmusic.net/
• Decrypting RSA using Obsolete and Weakened eNcryption なんての
は後々考えたもの！(ぇ(ぇ

18. 今後登場する脆弱性にメタルバンド名が
つくとしたら。。。。。。

19. CARCASS
• 国：UK
• ジャンル：DeathMetal / Gore
• BandSite: https://myspace.com/carcass
• たとえばｗ
Critical Action Reflected Cross site scripting Against Symantec System recovery
とか、どやぁ（ないけど
• Symantecのかたごめんなさいm(_ _)m