お客様各位

平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。

[概要]
一部のオリジンサーバがHTTPのリクエストボディを含むOPTIONSリクエストを処理する方法に起因する
潜在的なHTTP Smugglingの脆弱性により、影響を受けるお客様にセキュリティ上のリスクが生じる可能性があります。

このリスクを軽減するために、2025年7月14日から、Akamaiプラットフォームでは、400 Bad Request レスポンスを含むリクエストボディを含んだOPTIONSリクエストをデフォルトで拒否するようになります。

エンティティボディでOPTIONSリクエストのサポートを必要とするお客様は、この動作を有効にすることを選択できますが、脆弱性の発生を回避するために、オリジンサーバーがこのようなリクエストを正しく処理することをご確認ください。

■OPTIONSメソッドのリクエストについて

RFC 9110で定義されているように、OPTIONSメソッドを使用するとクライアントはサポートされている
リクエストメソッドをサーバーに照会でき、一般的にCORS(Cross-Origin Resource Sharing)のプリフライトシナリオで使用されます。

RFC 9110はOPTIONSを持つエンティティボディを許可していますが、この使用は実際には非常にまれです。
このような要求を発行する正当なユースケースや標準クライアント(ブラウザやモバイルアプリなど)は知られていません。

一部のオリジンサーバースタックは、これらのシナリオでリクエストボディを適切に使用できないため、
HTTP Smugglingの機会が発生し、キャッシュポイズニングやその他のセキュリティ上の影響につながる可能性があります。

<お問合せ先>

障害に関するお問い合わせ: cdn-trouble@ntt.com
CDN全般についてのお問い合わせ: cdn-query@ntt.com