クラウド型 Web 脆弱性診断ツール「VAddy(バディ)」、SSRF脆弱性(CWE-918)検査機能を追加しました

株式会社ビットフォレスト

2021-01-13 11:00

株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾都季一 以下、ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、新たにSSRF脆弱性(CWE-918)検査機能を追加いたしました。

クラウド型Web脆弱性診断ツール「VAddy」 (リンク »)

「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Web アプリケーション脆弱性診断ツールです。

クラウド型 WAF「Scutum(スキュータム)」 (リンク »)

従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。
VAddyのEnterpriseプランではこれまで下記の9つの脆弱性に対する検査機能を提供していましたが、これに加えて新たにSSRF脆弱性(CWE-918)検査機能を追加しました。

▼VAddy Enterpriseプラン検査項目一覧
SQLインジェクション検査
ブラインドSQLインジェクション検査
XSS検査
コマンドインジェクション検査
ディレクトリトラバーサル検査
リモートファイルインクルージョン検査
HTTPヘッダインジェクション検査
XXE検査
安全でないデシリアライゼーション検査
SSRF脆弱性検査 [NEW]

●SSRF脆弱性を検査対象とした背景
SSRF(サーバーサイドリクエストフォージェリ)脆弱性とは、公開サーバーを経由して、ファイアーウォールの内側などにある非公開サーバーにある情報を窃取できるという脆弱性です。SSRF脆弱性を狙った攻撃は比較的新しいため、SQLインジェクションやXSSほど知られていませんが、2019年には米国の金融機関においてSSRF攻撃による1億人以上の個人情報が流出する事故が発生しており、非常にリスクの高い脆弱性だと考えられます。

また、AWSやGCPなどのメタデータAPIが提供されてされているパブリッククラウド上のWebアプリケーションにSSRF脆弱性が存在すると、そのメタデータAPIを悪用して非公開のインスタンス情報を窃取される可能性があることから、SSRF脆弱性は多くのお客様に影響がある脆弱性だと考えています。

VAddyがこれまで検査対象としてきた脆弱性は、ビットフォレストが開発/運用を行っているクラウド型WAF「Scutum(スキュータム)」で日々観測されている攻撃のうち、リスクが高いものを中心に構成してきました。クラウド型WAF「Scutum(スキュータム)」でもSSRF脆弱性を狙った攻撃が観測され始めており、クラウドインフラの利用者がますます増える今後はSSRF脆弱性を狙った攻撃が増加することが想定されることから、VAddyの検査対象として新たに追加しました。

「SSRF攻撃」が成立する脆弱性として、SSRF脆弱性の他にSQLインジェクション、ディレクトリトラバーサル、コマンドインジェクションなどがあります。VAddyはそれらの脆弱性の検査機能はすでに実装されていますので、今回追加されたSSRF脆弱性検査機能によって、より広範囲に「SSRF攻撃」への対策が進みます。

本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ:VAddyにSSRF脆弱性(CWE-918)検査機能を追加
(リンク »)

なお、本機能はVAddy Enterpriseプランのみへの追加となりますが、現在Professionalプラン、Starterプランをご利用のお客様でもEnterpriseプランにアップグレードすることで、すぐにご利用いただけます。

今回追加されたSSRF検査も含めたVAddyの機能詳細やデモンストレーションは、1月22日(金)開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください!

【参加費無料】1/22(金)18:00~開催!VAddyオンラインセミナー
(リンク »)

●お問い合わせ
株式会社ビットフォレスト
VAddy(バディ)事業部
担当 西野
info@vaddy.net

企業情報
【ビットフォレストについて】
(リンク »)
社名:株式会社ビットフォレスト
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売

リリースに関する報道機関からの問い合わせ先
■株式会社ビットフォレスト VAddy事業部 広報担当:西野
電話:03-5577-2032
メールアドレス:info@vaddy.net
Twitter VAddyアカウント: (リンク »)
Facebook VAddyページ: (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]