EGセキュアソリューションズ株式会社は、2019年7月29日に米金融企業大手のCapital Oneより発表された個人情報流出事件を受け、SSRF(Server Side Request Forgery)脆弱性に関するサービス強化の実施を決定いたしました。
SSRFは従来からバグバウンティ(脆弱性報奨金制度)の分野などでは注目されており、そのため、弊社代表の徳丸も以下のブログ記事にて昨年12月にSSRFの解説記事を執筆し、警鐘を鳴らしていたところでした。
SSRF(Server Side Request Forgery)徹底入門
https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
今回の事例はまさに「恐れられていたことが現実に起こった」ものであり、AWSという日本でも非常に普及している環境で発生したこと、SSRFがまだあまり知られていない脆弱性であることを想定すると、日本で類似の事件が発生することも時間の問題であると考えられます。
対象サービス
・Webアプリケーション脆弱性診断
スタンダード以上の診断プランにおいて、標準項目に含まれていなかった「SSRF脆弱性の検証」を標準項目に追加
・弊社開講講座『徳丸本によるホワイトハッカー入門 応用講座』
「SSRF脆弱性の解説」項目を追加
その他各サービスの強化を予定しております。
