2025年3月、Webサーバー「Apache Tomcat」に重大な脆弱性（CVE-2025-24813）が発見されました。
この脆弱性を悪用すると、攻撃者が遠隔からサーバーに侵入し、不正なプログラムを実行する可能性があります。情報漏えい・システム改ざんなど、重大な影響をもたらす恐れがあります。

■ 影響を受けるバージョン
　•    Tomcat 9.0.0-M1 ～ 9.0.98
　•    Tomcat 10.1.0-M1 ～ 10.1.34
　•    Tomcat 11.0.0-M1 ～ 11.0.2

■ 攻撃のしくみ（簡単に）
　1.    攻撃者が不正なファイルをサーバーにアップロード（PUTメソッド使用）
　2.    サーバーがそのファイルを実行 → 任意のコードが実行される
　3.    サーバー内のデータが乗っ取られたり、改ざんされたりする危険

■ 対策方法
【1】 もっとも確実なのは アップデート！
　以下のバージョンにアップグレードすれば、この問題は修正されます。　
　•    Tomcat 9.0.99 以降
　•    Tomcat 10.1.35 以降
　•    Tomcat 11.0.3 以降

【2】 アップデートがすぐできない場合は、「PUTメソッドを無効」に！
　以下の手順でPUTメソッドを無効にできます。

■ PUTメソッドを無効にする手順（初心者向け）
　1.    Tomcatの設定ファイルを開く
　　　　Tomcatのインストールフォルダ内の以下のファイルを開きます。

　$TOMCAT_HOME/conf/web.xml

　2.    以下のような設定を追記（ファイルの最後のほうでOK）

　<security-constraint>
  　<web-resource-collection>
    　<web-resource-name>Disable PUT</web-resource-name>
    　<url-pattern>/*</url-pattern>
    　<http-method>PUT</http-method>
  　</web-resource-collection>
  　<auth-constraint />
　</security-constraint>

　3.    Tomcatを再起動

　設定を反映させるために、Tomcatを再起動してください。

■ 最後に
今回の脆弱性はすでに世界中で悪用されており、放置するとサーバーが乗っ取られる危険性もあります。
小規模なWebアプリや開発環境でも、油断せずにすぐ対策を行いましょう！

記載者：片山　昌樹（セキュリティ＆マネージド事業部）