採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 情報セキュリティ BLOG
  4. Web セキュリティ
  5. コンテンツ管理システム(CMS)の脆弱性にご注意

情報セキュリティ BLOG

Web セキュリティ

2022 年 09 月 13 日

コンテンツ管理システム(CMS)の脆弱性にご注意

~ さまざまなソフトウェアで発見される新たな脆弱性に対処するためには? ~

Web サイトの構築にあたっては、オープンソースソフトウェア(OSS)のような無償で提供されるものから有償で提供されるものを問わず、多くのソフトウェア、ミドルウェアやライブラリが使用されています。どのソフトウェアにも、ソフトウェアの欠陥である脆弱性が存在します。今、その脆弱性が存在しなかったとしても、今後発生する可能性があります。

Web サイトを提供する企業や組織において、そのサイトが安全に利用できるようにするために、絶えずメンテナンスを行う必要があります。メンテナンスには、サービスや機能の刷新だけではなく、脆弱性に対するメンテナンスを忘れてはなりません。

Web サイトの構築にあたっては、コンテンツ管理システム(CMS)を利用するサイト運営者が多いのではないでしょうか?
無償・有償を問わずさまざまな CMS があり、代表的な CMS としては WordPress や Movable Type などがあります。
これまでにも CMS の脆弱性は発見・報告されており、今後も脆弱性が発見される可能性があるため常に対策を行う必要があります。

CMS のイメージ画像

Movable Type に脆弱性が存在

Movable Type は、シックス・アパート社が開発・提供し、主にブログなどで利用されることが多くプラグインにより機能拡張できる CMS の一つです。
この Movable Type の XMLRPC API にコマンドインジェクションの脆弱性が存在することが 2022 年 8 月に報告されており、脆弱性を悪用されると任意の Perl スクリプトや任意の OS コマンドを実行される可能性があります。

開発者によると、すでにサポート終了をしたバージョンを含む、 Movable Type 4.0 以降のすべてのバージョンで影響を受けると報告されています。シックス・アパート社から脆弱性を修正したバージョンがすでに公開されており、開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

【脆弱性の影響を受ける Movable Type のバージョン】

  • Movable Type 7 r.5202 およびそれ以前(Movable Type 7 系)
  • Movable Type Advanced 7 r.5202 およびそれ以前(Movable Type Advanced 7 系)
  • Movable Type 6.8.6 およびそれ以前(Movable Type 6 系)
  • Movable Type Advanced 6.8.6 およびそれ以前(Movable Type Advanced 6 系)
  • Movable Type Premium 1.52 およびそれ以前
  • Movable Type Premium Advanced 1.52 およびそれ以前

※2022 年 9 月 7 日現在
(出典)JPCERT/CC「Movable Type の XMLRPC API の脆弱性に関する注意喚起

PowerCMS に脆弱性が存在

PowerCMS は、アルファサード社が開発・提供する Movable Type をベースにした CMS です。
2022 年 9 月に、PowerCMS の XMLRPC API に脆弱性が存在することが報告されており、Movable Type 同様に任意の Perl スクリプトや任意の OS コマンドを実行される可能性があります。

開発者によると、すでにサポートが終了している PowerCMS 3 系以前のバージョンも含め、複数のバージョンで影響を受けると報告されています。アルファサード社から脆弱性を修正したバージョンがすでに公開されており、開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

【脆弱性の影響を受ける PowerCMS のバージョン】

  • PowerCMS 6.021 およびそれ以前のバージョン (PowerCMS 6 系 )
  • PowerCMS 5.21 およびそれ以前のバージョン (PowerCMS 5 系 )
  • PowerCMS 4.51 およびそれ以前のバージョン (PowerCMS 4 系 )

※2022 年 9 月 7 日現在
(出典)JPCERT/CC「PowerCMS の XMLRPC API におけるコマンドインジェクションの脆弱性

脆弱性のイメージ画像

脆弱性への対処方法は?

"BLOG:ウェブ関連サービスの脆弱性に注意 " でも解説していますが、脆弱性に対する恒久的な対応方法は残念ながら存在しません。今後もすべてのソフトウェアに脆弱性が発生しないという保障はありません。利用するすべての Web サービスやシステムに、どのようなソフトウェア、ミドルウェアやライブラリなどが使用されているかを常に管理し、脆弱性の存在が発見された場合には、いち早く最新版にアップデートすることが重要です。

また、"BLOG:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)に対処するためには?" で解説していますが、修正プログラム公開前を狙ったゼロデイ攻撃によってランサムウェア攻撃の被害事例もあることから、ウイルス対策、不正アクセス対策などの多層防御に加えて、脆弱性対策が重要となります。

脆弱性の対策には、脆弱性の見える化を実現する脆弱性管理ソリューション MIRACLE Vul Hammer を利用して、脆弱性を早期に発見し悪用するサイバー攻撃に対応することができます。脆弱性への存在には、迅速かつ適切に対応することが必要なため、検討していただきたいソリューションです。

本記事に関連するリンク
はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
< 前の記事へ
ウェブ関連サービスの脆弱性に注意
次の記事へ >
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
最新 BLOG 記事
IPA「情報セキュリティ10大脅威 2024」を発表
IPA「情報セキュリティ10大脅威 2024」を発表
2024 年 01 月 29 日
ランサムウェア対策への脆弱性診断の有効性
ランサムウェア対策への脆弱性診断の有効性
2023 年 12 月 06 日
人工知能が拓く、新しい脆弱性診断の形
人工知能が拓く、新しい脆弱性診断の形
2023 年 07 月 28 日
IPA「情報セキュリティ10大脅威 2023」を発表
IPA「情報セキュリティ10大脅威 2023」を発表
2023 年 01 月 31 日
脆弱性診断を実施する必要性とは⁉
脆弱性診断を実施する必要性とは⁉
2022 年 11 月 07 日
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
2022 年 10 月 26 日
カテゴリ
情報セキュリティ関連記事

人工知能が拓く、新しい脆弱性診断の形

より高度な情報セキュリティが必要なあなたへ システム内部からの認証スキャン PCI DSS 4.0 対応 サイバートラスト 脆弱性診断サービス ホスト診断

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime