ビットフォレスト/クラウド型 Web 脆弱性診断ツール「VAddy(バディ)」、SSRF脆弱性(CWE-918)検査機能を追加

株式会社ビットフォレスト(東京都千代田区 代表取締役 高尾都季一 以下、ビットフォレスト)は、クラウド型Web脆弱性診断ツール「VAddy」において、新たにSSRF脆弱性(CWE-918)検査機能を追加いたしました。

クラウド型Web脆弱性診断ツール「VAddy」 https://vaddy.net/ja/?frm=pre202001_prtimes

「VAddy」は クラウド型 WAF(Web Application Firewall)国内市場売上シェアNo.1を誇る「Scutum(スキュータム)」の開発チームが開発した、今もっとも手軽で高速な純国産のクラウド型 Web アプリケーション脆弱性診断ツールです。

クラウド型 WAF「Scutum(スキュータム)」 https://www.scutum.jp/?frm=pre202001_prtimes

従来の脆弱性診断ツールのように導入前トレーニングや複雑な設定作業を必要とせず、簡単なブラウザ操作だけで未経験者でも最短10分で初回の検査を開始できる手軽さが支持されています。
VAddyのEnterpriseプランではこれまで下記の9つの脆弱性に対する検査機能を提供していましたが、これに加えて新たにSSRF脆弱性(CWE-918)検査機能を追加しました。

▼VAddy Enterpriseプラン検査項目一覧
SQLインジェクション検査
ブラインドSQLインジェクション検査
XSS検査
コマンドインジェクション検査
ディレクトリトラバーサル検査
リモートファイルインクルージョン検査
HTTPヘッダインジェクション検査
XXE検査
安全でないデシリアライゼーション検査
SSRF脆弱性検査 [NEW]

●SSRF脆弱性を検査対象とした背景
SSRF(サーバーサイドリクエストフォージェリ)脆弱性とは、公開サーバーを経由して、ファイアーウォールの内側などにある非公開サーバーにある情報を窃取できるという脆弱性です。SSRF脆弱性を狙った攻撃は比較的新しいため、SQLインジェクションやXSSほど知られていませんが、2019年には米国の金融機関においてSSRF攻撃による1億人以上の個人情報が流出する事故が発生しており、非常にリスクの高い脆弱性だと考えられます。

また、AWSやGCPなどのメタデータAPIが提供されてされているパブリッククラウド上のWebアプリケーションにSSRF脆弱性が存在すると、そのメタデータAPIを悪用して非公開のインスタンス情報を窃取される可能性があることから、SSRF脆弱性は多くのお客様に影響がある脆弱性だと考えています。

VAddyがこれまで検査対象としてきた脆弱性は、ビットフォレストが開発/運用を行っているクラウド型WAF「Scutum(スキュータム)」で日々観測されている攻撃のうち、リスクが高いものを中心に構成してきました。クラウド型WAF「Scutum(スキュータム)」でもSSRF脆弱性を狙った攻撃が観測され始めており、クラウドインフラの利用者がますます増える今後はSSRF脆弱性を狙った攻撃が増加することが想定されることから、VAddyの検査対象として新たに追加しました。

「SSRF攻撃」が成立する脆弱性として、SSRF脆弱性の他にSQLインジェクション、ディレクトリトラバーサル、コマンドインジェクションなどがあります。VAddyはそれらの脆弱性の検査機能はすでに実装されていますので、今回追加されたSSRF脆弱性検査機能によって、より広範囲に「SSRF攻撃」への対策が進みます。

本機能についてはVAddyブログも併せてご覧ください。
VAddyブログ:VAddyにSSRF脆弱性(CWE-918)検査機能を追加
https://blog-ja.vaddy.net/post/ssrf-release

なお、本機能はVAddy Enterpriseプランのみへの追加となりますが、現在Professionalプラン、Starterプランをご利用のお客様でもEnterpriseプランにアップグレードすることで、すぐにご利用いただけます。

今回追加されたSSRF検査も含めたVAddyの機能詳細やデモンストレーションは、1月22日(金)開催のVAddyオンラインセミナーでもご紹介します。ご自宅からでもリラックスしてご参加いただけますので、まだ脆弱性診断ツールを導入するか具体的に決まっていない方や情報収集段階の方も、ぜひご参加ください!

【参加費無料】1/22(金)18:00~開催!VAddyオンラインセミナー
https://vaddy.net/ja/contents/seminar.html?frm=pre202001_prtimes

●お問い合わせ
株式会社ビットフォレスト
VAddy(バディ)事業部
担当 西野 
メールアドレス:info@vaddy.net
Twitter VAddyアカウント:https://twitter.com/vaddynet
Facebook VAddyページ:https://www.facebook.com/vaddynet/

企業情報
【ビットフォレストについて】
https://www.bitforest.jp/
社名:株式会社ビットフォレスト
代表者:代表取締役 高尾 都季一
事業内容:Webアプリケーションセキュリティ製品の開発、販売