こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
学術情報提供サービスを行う株式会社サンメディアは11月10日、同社Webサイトへの不正アクセスについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】CMSの脆弱性が原因で、ホームページが改ざんされてしまったということです。ホームページの管理にCMSを利用している場合に、セキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、サイト運営ベンダーが同社Webサイトの異常を確認したところ、ホームページのインデックスファイルとCMSの一部ファイルが改ざんされていたということです。なお、個人情報が特定できるファイルはWebサーバ上に置いていなかったと発表されています。
インシデントの原因として、旧Webサイトを構成していたMovableTypeの脆弱性が利用されたことが挙げられています。ただし、Webサイトにある幾つかのファイルを変更したり新たな不正ファイルの挿入を試みたところ、それが原因で現在のプラットフォームであるWordPressが不安定となり、攻撃者によるアクセスそのものもできなくなったということです。
対策として、不正アクセス元のIPアドレスからのアクセスをブロックし、不正アクセスによって送り込まれたファイルの排除と当該サイトのトップページへのアクセス障害を復旧したと発表されています。また、再発防止策として、原因となった古いMovableTypeのファイルは全て削除し、緊急の際に迅速に対応できるように緊急連絡体制とフローを構築、またIPA等の情報源を注視し、利用CMSや周辺プラグインが危機に晒されていないかを常に確認するフローを構築したということです。
今回、インシデントの原因となったCMSの脆弱性について説明します。すでにサポート終了をしたバージョンを含む、MovableType 4.0以降のすべてのバージョンが本脆弱性の影響を受けますので、該当するバージョンのMovableTypeを使っている方は、すぐに最新版へアップデートするか、アップデートできない場合は回避策を適用しましょう。
今回の脆弱性は、OSコマンドインジェクションとされています。OSコマンドインジェクションとは、外部からの攻撃でサーバのOSコマンドが実行できてしまう脆弱性です。OSのコマンドを含むデータが、脆弱性の存在するプログラムで処理されることにより、サーバ上で意図しないOSコマンドが実行され、マルウェア感染やファイルの改ざんなどが行われます。
今回公表されたMovableTypeの場合、XMLRPC APIに細工したメッセージを送信することで、任意のOSコマンドが実行可能となるため、MovableTypeがインストールされているサーバ上でマルウェア感染やファイルの改ざんが行われる可能性があります。11月に入って、脆弱性を実証するコードが公開されており、実際に不審なファイルが設置される攻撃が確認されています。
脆弱性の対策としては、MovableTypeを最新版へアップデートすることが必要です。アップデートできない場合は、脆弱性が存在するmt-xmlrpc.cgiへのアクセスを制限したり、mt-config.cgiの設定を変更したりすることで、脆弱性の影響を軽減することが可能です。詳細は開発者が提供する情報を確認してください。
公開されている脆弱性のうち、実際に使用している情報資産で、マルウェア感染など実際の脅威が存在している場合、速やかに対応することが求められます。
セキュリティに人もお金もどこまでかけるべきか判断が難しい状況だからこそ、限られたリソースは有効に活用していきましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
