オープンソースのWebアプリケーションフレームワーク「Apache Struts1(アパッチ・ストラッツワン)」に、深刻な脆弱性の存在が報告されています。
[脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182]
Apache Struts1が悪意あるリクエストを受け取ると、任意のJavaコードが実行され、パスワードファイルなど重要な情報が盗み見られたり、ファイルシステムの破壊やバックドアの設置など、さまざまな被害を受ける恐れがあります。
警察庁でも、Apache Struts1を使用しているWebサイトに対して公開停止を呼びかけるなど、その対策は急務ですが、Apache Struts1は開発元であるApache Software Foundationのサポートが終了しているため、修正版や対応パッチが提供される予定はありません。
シーイーシーでは脆弱性対策サービスとして、「対策モジュール」および「保守」を合わせてご提供いたします。
情報の窃取
機密情報漏えい、メールアドレスなどの個人情報流出など
ファイルの不正操作
ホームページ改ざん、ウイルス感染、DDos攻撃の踏み台、フィッシング詐欺など
任意コードの実行
サーバークラッシュ、バックドアの設置、不正アクセスなど
Webアプリの使用不可
サイトダウンなど
Webブラウザーのアドレスバーに、「filetype:do site:御社ドメイン」と入力してみましょう。
検索結果にヒットするものがあれば、御社サイトはApache Struts1を使用しているということになります。
対策を行わずにいると、外部の第三者から脆弱性を悪用される可能性があります!
専用モジュールをインストールするだけ、最短1日で対応可能
インストール作業はいたって簡単。スピーディな導入が可能です。
機能を限定することで、低価格でのセキュリティ確保を実現
脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182に対応。
複数サーバーへの適用も価格はそのまま
複数サーバーなら1台あたりはさらにリーズナブル。
新規で中間サーバー(WAF/IPSなど)の導入も不要
必要なのはこの専用モジュールだけ。
新たな脆弱性発見時は迅速に対応
毎日脆弱性情報について収集を行い、確認でき次第速やかにご連絡します。
脆弱性発見後は対処方法のご提案
脆弱性情報やシステム構成を元にお客様に合った対処方法をご提案します。
脆弱性に対する、対策モジュールの提供
発見された脆弱性情報に基づき対応を行い、こちらで動作確認の取れたモジュールをご提供します。
安心の月次報告
特に脆弱性などが発見されなかった場合でも、その旨を毎月ご報告します。
システムやアプリケーション構成など、必要な情報を伺います。
ご提案を作成してお見積りを提示します。
契約後、すぐに対策モジュールをご提供します。モジュールを適用して対策が完了します。
①モジュールのご提供
当社で改修したStruts1モジュールを提供いたします。
②保守
・脆弱性情報(CVE番号、JVNデータベース)が出た場合、速やかに情報提供します。
・その後、追跡調査を行い、適切な対処方法をご提案いたします。
・発見された脆弱性情報に基づき、必要に応じて対策モジュールをご提供します。
サービス料(税抜):960,000円/年
※初回契約時は2年契約となります。
- ※モジュールのサーバーへの適用はお客様で実施していただきます。
- ※対策モジュールを御社内の他システムに適用された場合でも、ご提供価格は増えません。
- ※ユーザーアプリ動作確認はお客様自身にてお願いいたします。
当社にて動作確認が必要となる場合、個別見積となります。
