株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役 大木 元 以下、SST)がサービス提供を、株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾 都季一 以下、ビットフォレスト)が技術提供を行うクラウド型WAF サービス「Scutum(スキュータム)」は、2021年10月5日に公開*されたApache HTTP Server 2.4.49におけるパストラバーサルの脆弱性(CVE-2021-41773)について、既存の防御機能により本脆弱性公開前から攻撃を防御できていることをお知らせします。
Scutumでは、既存のパストラバーサル防御機能により、本脆弱性公開前から既に本脆弱性を狙った攻撃を防御できていたことを確認しております。また、2021年10月6日午前中の時点で、100サイト120件以上の攻撃を観測しました。
* 参照:https://httpd.apache.org/security/vulnerabilities_24.html ※本プレスリリース内では日本時間表示です。
Scutumは、多くのWebサイトが脆弱性を抱えたまま稼働している実情を踏まえ、最新のセキュリティ基準では推奨されない構成や古いシステムをWAFによって守ることで、サイト運営者およびそのユーザーへ安心を提供したいと考え、今後とも「現実的な防御」の実現と情報の発信に努めてまいります。
●Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)について
JPCERT/CCからも注意喚起が行われています。
- JPCERT/CC:https://www.jpcert.or.jp/at/2021/at210043.html
- 対象:Apache HTTP Server 2.4.49
- 対策:The Apache Software Foundationから本脆弱性を修正するバージョンが公開されています。本脆弱性を悪用すると、サーバ運用者が公開を意図しないファイルに外部からアクセスが可能となるため、対策済みバージョンへのアップデートが早急に求められています。
●新たな脆弱性に対するScutumの対応について
Scutumでは新たな脆弱性への対応を重視し、常に最新のセキュリティ対策を反映しております。新たに脆弱性が発見された場合は、速やかにその脆弱性をScutumで防御できるかのチェックを行います。まだScutumで対応できていない問題が見つかった場合には、検知システムや防御ロジックの見直しを行い、できるだけ早くScutumで対応できるような体制を用意しています。
- Scutumの新たな脆弱性への対応一覧:https://www.scutum.jp/information/technical_articles/index.html
●クラウド型WAFサービス「Scutum(スキュータム)」について
インターネット上で『盾』となって、Webサイトを不正アクセス(攻撃)から守るセキュリティサービスです。お任せ運用・低コストでかつ余計な自前の設備を一切持つことなく、より安全なWebサービスの提供を実現します。
Scutumは、国内クラウド型WAF市場におけるシェア1位を連続11年獲得しています(*)。今後もクラウド型WAFの国内トップブランドとしてWebサイトの安全性向上に寄与して参ります。
- クラウド型WAFサービス「Scutum(スキュータム)」:https://www.scutum.jp/
- WAFとは?:https://www.scutum.jp/outline/waf.html
(*)出典 ミック経済研究所刊『情報セキュリティマネージド型・クラウド型サービス市場の現状と展望2021 年度版』のクラウド型WAFサービス<発刊日2021年6月30日(https://mic-r.co.jp/mr/02100/)>
(*)2010年度から2020年度の実績(https://www.scutum.jp/topics/waf_leader.html)
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名:株式会社セキュアスカイ・テクノロジー
本社所在地:東京都千代田区神田司町2-8-1PMO神田司町2F
設立:2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断、クラウド型WAFサービス、セキュリティ教育・⽀援サービス、コンサルティング
URL:https://www.securesky-tech.com/
【株式会社ビットフォレスト 会社概要】
社名:株式会社ビットフォレスト [ロゴ 自動的に生成された説明]
本社所在地:東京都千代田区神田錦町1-17-5 神田橋PR-EX 8F
設立:2002年2月
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発・販売