RFCに準拠しないHTTPヘッダーに関するセキュリティ脆弱性への対処とお客様影響につきまして

お客様各位

平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。

[概要]
アカマイCDNサービスをご利用の環境において、RFCに準拠していない不正なHTTPヘッダー(＊1)によるリクエストに対して
オリジンサーバーがレスポンスすることで、キャッシュ ポイズニング等のセキュリティリスクが発生する
可能性があることが確認されております。

(＊1)例えば、ヘッダー名に次の文字列が含まれるような場合　　( ) < > @ , ; : \ / [ ] ? = { }


アカマイプラットフォーム上での、現時点での不正ヘッダの取り扱いについては、AWS S3オリジンなど一部サービスでは
許容しているため、動作を阻害しないように、デフォルトではパススルーとしており、この不正ヘッダを遮断する機能は、
従来より個別動作として提供しております。

この不正ヘッダを悪用した攻撃が観測されるようになり、その対処としてアカマイは
「Strict Header Parsing（厳密なヘッダー解析)」(＊2)をプラットフォームのデフォルトの動作とする作業を進めており、
2023年の早い時期に完了する予定です。

(＊2)RFC違反の不正ヘッダーを含むリクエストに対して、400 Bad Requestを返す挙動をします。

これによりRFC非準拠のHTTPリクエストを拒否する動作となります。
従いまして、一般的なブラウザではなく、独自のクライアント、特に古いデバイスからリクエストを受け取る場合には
影響が出る可能性がございます。


※ 現時点でもプロパティマネージャーでの設定変更によりこの動作を有効化することは可能です。
　 また、この動作が自動的に有効化されることを望まない場合はオプトアウトすることも可能です。


なお、アカマイでは既存のお客様を対象に無効なヘッダーでのリクエストが含まれているユーザーの特定を進めており、
確認ができた場合は個別にご連絡を行ってまいります。


ご理解を賜りますよう、どうぞ宜しくお願い申し上げます。


<お問合せ先>
障害に関するお問い合わせ: trouble-j@ntt.net
CDN全般についてのお問い合わせ: cdn-query@ntt.com