オープンソースのWebアプリケーションフレームワーク「Apache Struts1(アパッチ・ストラッツワン)」に、深刻な脆弱性の存在が報告されています。
[脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182]
Apache Struts1が悪意あるリクエストを受け取ると、任意のJavaコードが実行され、パスワードファイルなど重要な情報が盗み見られたり、ファイルシステムの破壊やバックドアの設置など、さまざまな被害を受ける恐れがあります。
警察庁でも、Apache Struts1を使用しているWebサイトに対して公開停止を呼びかけるなど、その対策は急務ですが、Apache Struts1は開発元であるApache Software Foundationのサポートが終了しているため、修正版や対応パッチが提供される予定はありません。
シーイーシーでは、悪意あるリクエストを無効化する「Apache Struts1 脆弱性対策モジュール」および、Struts1の脆弱性に関する年間保守サービスをご提供しています。
情報の窃取
機密情報漏えい、メールアドレスなどの個人情報流出など
ファイルの不正操作
ホームページ改ざん、ウイルス感染、DDos攻撃の踏み台、フィッシング詐欺など
任意コードの実行
サーバークラッシュ、バックドアの設置、不正アクセスなど
Webアプリの使用不可
サイトダウンなど
Webブラウザーのアドレスバーに、「filetype:do site:御社ドメイン」と入力してみましょう。
検索結果にヒットするものがあれば、御社サイトはApache Struts1を使用しているということになります。
対策を行わずにいると、外部の第三者から脆弱性を悪用される可能性があります!
専用モジュールをインストールするだけ、最短1日で対応可能
インストール作業はいたって簡単。スピーディな導入が可能です。
機能を限定することで、低価格でのセキュリティ確保を実現
脆弱性識別番号:CVE-2014-0114、CVE-2015-0899、CVE-2016-1181、CVE-2016-1182に対応。
初期費用のみ、複数サーバーへの適用も価格はそのまま
月々のランニングコスト不要。複数サーバーなら1台あたりはさらにリーズナブル。
新規で中間サーバー(WAF/IPSなど)の導入も不要
必要なのはこの専用モジュールだけ。追加の費用は不要です。
新たな脆弱性発見時は迅速に対応
毎日脆弱性情報について収集を行い、確認でき次第速やかにご連絡します。
脆弱性発見後は対処方法のご提案
脆弱性情報やシステム構成を元にお客様に合った対処方法をご提案します。
脆弱性に対する、対策モジュールの提供(PREMIUMサポートのみ)
発見された脆弱性情報に基づき対応を行い、こちらで動作確認の取れたモジュールをご提供します。
安心の月次報告
特に脆弱性などが発見されなかった場合でも、その旨を毎月ご報告します。
システムやアプリケーション構成など、必要な情報を伺います。
ご提案を作成してお見積りを提示します。
契約後、すぐに対策モジュールをご提供します。モジュールを適用して対策が完了します。
脆弱性内容レポート作成
ヒアリングシートからシステム構成を調査させていただき、対策を提供いたします。
対応モジュールのご提供
脆弱性対応したStruts1モジュールのご提供
当社で改修したStruts本体のモジュールをご提供
ご提供価格:
500,000円
- ※上記以外の対策は、別途ご相談とさせていただきます。
- ※サーバーへの適用はお客様で実施していただきます。
- ※対策モジュールを御社内の他システムに適用された場合でも、ご提供価格は増えません。
ユーザーアプリ動作確認
基本的にはお客様自身にてお願いいたしますが、ご相談に応じます(ご提供価格:個別見積)。
年間保守サービス
今後も発生し続ける問題に対し、継続的にサポートいたします。
PREMIUMサポート
脆弱性情報(CVE番号、JVNデータベース)が出た場合、速やかに情報提供します。
その後、追跡調査を行い、適切な対処方法をご提案いたします。
発見された脆弱性情報に基づき、必要に応じて対策モジュールをご提供します。
サポート料:
840,000円/年
- ※対策モジュールは、必ず提供を保証できるものではありません。
