Future Tech Blog
フューチャー開発者ブログ

JANOG38にてVulsの発表を行いました


JANOG38にてVulsの発表を行いました

めんそーれ!!!
初投稿となります、ちまたで話題沸騰中のLinux/FreeBSD脆弱性スキャナ Vuls 作者の神戸です。

インターネット系カンファレンスでは日本最大規模であるJANOG38 Meeting@沖縄 にてVulsについて発表してきました。本記事ではその奮闘ぶりを紹介します。

JANOG38について

JANOG公式ページ より引用

JANOGとはインターネットに於ける技術的事項、および、それにまつわるオペレーションに関する事項を議論、
検討、紹介することにより日本のインターネット技術者、および、利用者に貢献することを目的としたグループです。


年に2回、数百人規模のインターネット系エンジニアが集まって情報交換を行う日本有数の大規模なカンファレンスです。もともとはインターネットの運用関係のカンファレンスでしたが最近はサーバ運用やセキュリティなども対象となっています。

38回目の開催であるJANOG38 Meetingに弊社セキュリティエンジニアの林優二郎と私の2名で参加し、
セキュリティオペレーション: 使ってる道具を教えて! ~ Linux, FreeBSD 向け脆弱性スキャナ Vuls 開発者が熱く語る~にて発表してきました。

Vulsって何?

Vulsをご存じない方のために簡単に紹介します。

https://github.com/future-architect/vuls [日本語README](https://github.com/future-architect/vuls/blob/master/README.ja.md)

Vulsとは、Linux/FreeBSDに含まれる脆弱性を検知し、詳細情報をレポーティングするツールです。

日々発見される脆弱性の根本対策は、ソフトウェアアップデートです。1日に百万種類のマルウェアが作成されいてる現在、シグニチャベースのアンチウィルスやIDS, IPSを入れているから大丈夫、とは言い切れません。パッケージマネージャの自動アップデート適用が可能であれば楽なのですが、アップデートが原因でサービス停止するリスクを恐れて手動アップデートで運用するケースが多く見受けられます。手動アップデートでの運用は非常に運用コストがかかります。運用者はJVNやNVDなどで日々情報収集をして、日々発見される脆弱性が自分の管理するどのサーバに該当するのかを判断しなければなりません。たまたま見逃したり、影響調査で漏れがあった場合は、システムに脆弱性を含んだ状態で運用することになります。このように、手動アップデートでの運用は困難であり、リスクも高いと言えます。

Vulsは私が100台規模のLinux運用をしていた際に、このソフトウェアアップデート作業に感じた、怒り、悲しみ、憎しみ、そして絶望を糧に作りました。

VulsはLinux、FreeBSDに存在する脆弱性を検知し、Slackやメールなどで日本語で通知します。
システム管理者は、VulsをセットアップしてCronなどに仕込むことで、新着脆弱性と該当サーバをVulsが教えてくれるため、上記に書いたようなソフトウェアアップデートに関するシステム管理者の日々の苦悩を軽減し、セキュアなシステム運用の助けとなります。

2016/4/1の公開後、一時GitHub Trending(直近24時間のスター獲得数ランキング)で1000万以上あるGitHubプロジェクトの全言語ランキングで一時 4位となるほど世界中で話題となりました。公開後3ヶ月で1800を超えるGitHubスターを獲得するほど人気であり、現在も活発に改善が行われているツールです。

発表内容

弊社技術部隊に所属するデザインイケる口な@chanomaru氏がデザイン、@hiroki_tanaka氏実装の、できたてほやほやVulsロゴをTシャツに貼り付けていざ発表にのぞみます。

「なんとなくVulsぽい感じで」
というRFPをもとにこのロゴを作成してもらいました(笑

前半は林優二郎による、

  • ネーミングの話
  • ロゴの発表
  • Vulsが解決する課題
  • 公開後のバズり具合
  • コミュニティ誕生秘話

後半はわたくし、神戸による

  • デモ
  • アーキテクチャ
  • どうやって脆弱性を検知するか
  • 苦労した点
  • Q&A
    という内容で発表しました。

活発に質問をいただき、またすでに使っている方から機能の要望をいただきました。
発表後は、ぜひ使用したいと声をかけていただくなどVulsの期待を感じさらなる改善を心に誓いました。

懇親会でVulsビラを配りまくる

二日目セッション終了後の懇親会にも参加しました。
JANOGは懇親会が本番という声もあるほど毎回盛り上がるそうで、今回の懇親会はなんと300人が参加する大規模なものでした。

我々の今回の目的はVulsの宣伝です。
懇親会が二日目の勝負所だと考えていた我々は、懇親会当日に思い立って突貫で作成したA4一枚のビラをコンビニで50枚印刷し、さらに発表と同じくVulsロゴをTシャツに貼り付けて参戦です。

まるで20世紀少年の「ともだち」を彷彿とさせる怪しさ全開の出で立ちですが、Vulsの宣伝のためには恥ずかしいなんて言ってられません。

突貫で作ったビラ

さくらインターネット 田中代表の乾杯を合図に、我々の戦いの火蓋が切って落とされます。

ミス沖縄と泡盛の女王も登場し会場のボルテージが輻輳する

なんと10種類の泡盛が飲み放題!!腹が減っては戦はできぬ。

オリオンビアーも料理も最高! クーーーーッ!!!
と 飲んで食ってダベって終わるわけにはいきません。
そうでした、我々の今回の目的はVulsの宣伝でした。

腹を満たした我々はVuls宣伝活動を開始します。
さて、、、周りを見渡すと、ほとんどの人がとなりの誰かと歓談しています。

数人で盛り上がってる中に割り込んでVulsのビラを配りを宣伝をはじめるには、いささかオリオンビアーが足りません。
今回がJANOG初参加ということもあり、知り合いがほとんどいない我々は考えます。

まず最初に考えた作戦は、一人でいる人を狙うこと。
サバンナの弱肉強食の世界でも、イルカの狩りでも集団から離れた獲物を狙うのはハンティングの基本です。

「いやいやいやいや、どーもどーも Vulsですー」

とビール瓶片手に話しかけてビラをわたし、説明します。
するとどなたからも、これ気になってたんだよね、試してみるよという反応が返ってきます。

「機能もそうだけど、とくにネーミングがいいねぇ!逆に破壊されそうだけど」
「わかってくれますか、逆に脆弱性をバルスするんですよ…」

嬉しくなって、ついいろいろ話し込ます。

30分ほどたって、気づきます。

「このやり方では効率が悪すぎる。どう考えても時間内にこの枚数は裁けねぇ」
「どうやら作戦を変える必要がありそうだ」
「でも、いったいどうやって!?」

八方塞がりの絶望に叩きのめされそうになったその瞬間、救世主が現れます。
以前よりVulsを気に入ってくれていて、Vuls-Slackで仲良くしていただいているN氏と出会います。そして、N氏は驚くほど顔が広い。

ポクポクポク・・・チーン!!

ひらめいた我々は、このままでは捌けないので、興味のありそうなお知り合いに配ってはいただけませぬか?とN氏にお願いしてみます。N氏快諾。本当にありがとうございます。ノルマとしてN氏に10枚ほどお渡ししました。(N氏は早々にノルマの10枚を配り終えていました)

「いっきに10枚はけたぞ。Goroutine!!!」

ということで、N氏の登場で希望が見えた我々は考えます。
JANOGは歴史のあるコミュニティであり、参加者同士のつながりが強い。

ポクポクポク・・・チーン!!

「せや!!つながりを使えばええんや。」
「ビラを配った人に、Vulsに興味のありそうな知り合いを紹介してもらったらええんや」
「タモさんがウキウキウォッチングでやってた手法や!!」

この作戦が功を奏し、次から次にVulsに興味のありそうな人を紹介してくれます。
JANOGコミュニティはええ人ばっかりや。

そして、残り10分で5枚残っていましたが、JPCERT/CC 平塚氏に助けていただき、一気になくなりすべてのビラを配り終えることができましたとさ。

今回、いろんな方と名刺交換し、ISP、WebやSIの方など多くの方が使ってみる、社内で宣伝するよとおっしゃってくださり、Vulsへの期待も感じられたので、ますますの改善を心に誓いました。

懇親会は7/7の七夕の日。世界の平和を祈る

懇親会おまけ

懇親会も終了に近づいたころ、思わぬ人と出会うことに。

なんと、娘の親友(よしお君(仮))のパパと懇親会でバッタリ。
「なぜJANOGによしお君のパパが?なぜ沖縄に?」
テンションが一気に上がります。
「えっ、なんでここにいるんですか?」
「これはJANOGの奇跡だ。そういえば今日は七夕ですやん。わたしたち、まるで織姫と彦星ですやん?」

今までそれ程話す機会がなかったのですが、まさかの沖縄での偶然に意気投合し、その後2次会に繰り出して泡盛の杯を交わし、パパ友の会を結成することを誓い合いましたとさ。

次はJTFでVulsの発表します

2016/7/24@東京 で開催されるJuly Tech Festaにて発表します。
インフラ系エンジニアが600人以上参加する大規模カンファレンスです。
Linux,FreeBSD脆弱性検知ツールVulsを開発したらServerspecを超えるGitHubスターを獲得するほどバズった話

Vulsの概要、内部の詳細から開発秘話、公開後の世界的なバズり具合、バズらせるために何をしたのか、コミュニティ結成のドラマ、OSSの素晴らしさを45分間語りまくります。

今後の開発

もちろん開発のほうもバリバリやっていきます。直近の大きな目標は、Windowsのスキャンを考えています。また、今後もどんどんカンファレンスや勉強会で発表をしてVulsを広めていきます!

仲間募集

Vulsを一緒に開発したい方を募集中です。
世界的に有名なプロダクトをGoを使ってバリバリ改善したい方、Vulsで世界平和を実現したい方がいらっしゃいましたら@kotakanbeまでDMください。

現場からは以上です。