Apache Strutsの脆弱性(CVE-2014-0094)の回避策として、 クラウド型IPS+WAF「攻撃遮断くん」を無償提供

株式会社サイバーセキュリティクラウド 2014年05月01日

From PR TIMES



株式会社アミティエ(東京都渋谷区、代表取締役 横田 武志、以下当社)は、当社が展開しているクラウド型IPS+WAF「攻撃遮断くん」をApache Strutsの脆弱性(CVE-2014-0094)の回避策としてご利用する場合に、無償でサービスを提供します。社会を揺るがす大問題に対して、「サイバー空間の安全安心を創造する」を理念として掲げているサイバーセキュリティ企業として、弊社ができる事は何かを熟考し、理念に基づき「攻撃遮断くん」を無償で提供することを決断しました。

※Apache Strutsとは:Javaを用いてWebアプリケーションを開発するためのフレームワークの一つ。オープンソースのソフトウェアで、誰でも自由かつ無償で利用・改変・再配布できる。官公庁や銀行、企業などで広く利用されている。

1.「CVE-2014-0094」に関して
Apache Struts(ストラッツ) に存在する脆弱性(欠陥)です。独立行政法人の情報処理推進機構(以下、IPA)や警察庁など、多くの機関より緊急の注意喚起がでています。
本脆弱性が悪用された場合は、個人情報や機密情報を盗まれたり、サイトを改ざんされたりする恐れがあります。Apache Struts 1はサポートが終了しており、現在のところ本脆弱性の修正プログラム(パッチ)はありません。すでに攻撃方法がインターネット上で公開されており、早急に対策が必要です。

2.対策に関して
Apache Struts 1においては、サポートが終了していますので、アップデートによる脆弱性の解消が不可です。IPAでは回避策として、本脆弱性に対応したシグネチャを搭載したWAF(Webアプリケーションファイアウォール)やIPS(不正侵入防御システム)で攻撃リクエストを遮断する方法を推奨しています。
IPA: (リンク »)

3.無償提供の背景
Apache Strutsは多くの官公庁や企業で利用されています。警察庁は2014年4月27日、本脆弱性を狙ったアクセスを検知したとして注意を呼びかけており、Apache Struts 1を使用しているWEBサイトについては、公開を停止することを推奨しています。すでに悪影響は広がっており、例えば国税庁は2014年4月25日、Webサイト上の「確定申告書作成コーナー」など3つのサービスを停止しました。しかしながら、多くの官公庁や企業ではWEBサイトの公開停止は難しく、悪影響が広がる事が懸念されます。

4.攻撃遮断くんの無償提供に関して
Apache Strutsの脆弱性(CVE-2014-0094)の回避策としてご利用の場合、最大2ヶ月(申込み日の翌月末まで)無償でご利用頂けます。お申込後、最短3営業日(通常5営業日)でサービス提供いたします。
※攻撃遮断くんは本脆弱性(CVE-2014-0094)に対応したシグネチャを搭載しております。
※限定100社。
お申込URL: (リンク »)


[画像1: (リンク ») ]


【参考:サービス概要】
クラウド型IPS+WAF「攻撃遮断くん」は、外部公開サーバへのあらゆる攻撃を遮断するクラウド型のサーバセキュリティサービスです。WEB改ざん、情報漏洩、踏み台、サービス妨害等の被害を防ぐ事が出来ます。BIGLOBEクラウドホスティングのIPSオプションやBBTowerクラウドセキュリティサービスに選定されるなど、大変好評いただいております。

革新的な攻撃遮断くんの仕組み
攻撃遮断くんプログラムは、各種ログを攻撃遮断くん運用システムに送出し、シグネチャに合致する不正アクセスだった場合に出される、遮断命令を実行するのみにする事で、 主な特徴を実現しています。


[画像2: (リンク ») ]

<主な特徴>
・ネットワーク構成の変更やサーバ停止の必要なし
・ご担当者様での保守・運用作業は一切必要なし
・シグネチャは自動で最新にアップデート
・クラウド環境(laaS)への対応
・ほぼすべてのOSに対応
・サーバへの負荷は1%以下
・攻撃可視化+コンサルティング
・5営業日でサービス開始可能


<詳細>
◆サービス内容
・24時間365日のセキュリティ監視
・サイバー攻撃の検知・遮断及び
・担当者さまへのメール報告
・月ごとのセキュリティレポート提供
・セキュリティについてのアドバイス

◆対応可能な主なサイバー攻撃
ブルートフォースアタック(総当り攻撃)・DDos攻撃・SQLインジェクション・クロスサイトスクリプティング・ディレクトリトラバーサル・OSコマンドインジェクション・改行コードインジェクション
その他、サーバOS・WEBサーバソフト・WEBアプリケーション層を狙った多くの攻撃に対応しています。

◆サービス提供対象
Webサーバ、メールサーバ、FTPサーバ、ファイルサーバ、その他インターネットに繋がるサーバ全般

◆対応OS
Linuxの全てのディストリビューション・FreeBSD (all versions) ・OpenBSD (all versions)
NetBSD (all versions) ・Solaris 2.7, 2.8, 2.9, 10 and 11 ・AIX 5.3, 6.1 and 7.1 ・HP-UX 10, 11, 11i
Windows 8, 7, XP, 2000 and Vista ・Windows Server 2003, 2008 and 2012 ・MacOSX 10

◆仮想サーバへの対応
VMware・KVM・Hyper-V・Xen・OSS etc

◆利用料金
初期費用:10,000円 月額利用費用:40,000円
・課金単位:1グローバルIP(サーバから見てOUT側の通信で使用されるグローバルIP毎)
・上記価格に消費税は含まれておりません。

プレスリリース提供:PRTIMES (リンク »)

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]