Webサイトに不正アクセス、11/5公表のMovableTypeの脆弱性を悪用

SHIFT SECURITY セキュリティの学び場ニュース解説 Webサイトに不正アクセス、11/5公表のMovableTypeの脆弱性を悪用

Webサイトに不正アクセス、11/5公表のMovableTypeの脆弱性を悪用

2021.11.24 ニュース解説

今回の解説ニュース
緊急度が高かったCMSの脆弱性の詳細と対策
公開された脆弱性に対して対応の優先順位をつける

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

サンメディアWebサイトに不正アクセス、11/5公表のMovableTypeの脆弱性を悪用

学術情報提供サービスを行う株式会社サンメディアは11月10日、同社Webサイトへの不正アクセスについて発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

CMSの脆弱性が原因で、ホームページが改ざんされてしまったということです。ホームページの管理にCMSを利用している場合に、セキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、サイト運営ベンダーが同社Webサイトの異常を確認したところ、ホームページのインデックスファイルとCMSの一部ファイルが改ざんされていたということです。なお、個人情報が特定できるファイルはWebサーバ上に置いていなかったと発表されています。

インシデントの原因として、旧Webサイトを構成していたMovableTypeの脆弱性が利用されたことが挙げられています。ただし、Webサイトにある幾つかのファイルを変更したり新たな不正ファイルの挿入を試みたところ、それが原因で現在のプラットフォームであるWordPressが不安定となり、攻撃者によるアクセスそのものもできなくなったということです。

対策として、不正アクセス元のIPアドレスからのアクセスをブロックし、不正アクセスによって送り込まれたファイルの排除と当該サイトのトップページへのアクセス障害を復旧したと発表されています。また、再発防止策として、原因となった古いMovableTypeのファイルは全て削除し、緊急の際に迅速に対応できるように緊急連絡体制とフローを構築、またIPA等の情報源を注視し、利用CMSや周辺プラグインが危機に晒されていないかを常に確認するフローを構築したということです。

緊急度が高かったCMSの脆弱性の詳細と対策

今回、インシデントの原因となったCMSの脆弱性について説明します。すでにサポート終了をしたバージョンを含む、MovableType 4.0以降のすべてのバージョンが本脆弱性の影響を受けますので、該当するバージョンのMovableTypeを使っている方は、すぐに最新版へアップデートするか、アップデートできない場合は回避策を適用しましょう。

今回の脆弱性は、OSコマンドインジェクションとされています。OSコマンドインジェクションとは、外部からの攻撃でサーバのOSコマンドが実行できてしまう脆弱性です。OSのコマンドを含むデータが、脆弱性の存在するプログラムで処理されることにより、サーバ上で意図しないOSコマンドが実行され、マルウェア感染やファイルの改ざんなどが行われます。

今回公表されたMovableTypeの場合、XMLRPC APIに細工したメッセージを送信することで、任意のOSコマンドが実行可能となるため、MovableTypeがインストールされているサーバ上でマルウェア感染やファイルの改ざんが行われる可能性があります。11月に入って、脆弱性を実証するコードが公開されており、実際に不審なファイルが設置される攻撃が確認されています。

脆弱性の対策としては、MovableTypeを最新版へアップデートすることが必要です。アップデートできない場合は、脆弱性が存在するmt-xmlrpc.cgiへのアクセスを制限したり、mt-config.cgiの設定を変更したりすることで、脆弱性の影響を軽減することが可能です。詳細は開発者が提供する情報を確認してください。

公開された脆弱性に対して対応の優先順位をつける

公開されている脆弱性のうち、実際に使用している情報資産で、マルウェア感染など実際の脅威が存在している場合、速やかに対応することが求められます。

公開されている脆弱性全てをフォローする事は現実的に困難だが: 多くの脆弱性が毎日のように公開されていますが、限られたリソースですべての脆弱性を把握して対応することは現実的に困難です。そのため、対応する脆弱性に優先順位をつけることが求められます。具体的には、すぐに対応しなければいけない脆弱性と、そうでない脆弱性の仕分けです。今回の場合、10月20日に脆弱性の情報が公開されており、10月26日に脆弱性を実証するコードが公開され、その後、脆弱性に対するスキャンや実際の攻撃が発生しています。10月20日の段階で、自分が使用している情報資産に該当するか判断できれば、脆弱性の深刻度に応じて対応を検討することができます。
脆弱性の深刻度を示すCVSS値も参考に優先順位を立てる: 脆弱性の深刻度はCVSSの値からも判断可能です。今回の場合は10月26日の段階で、脆弱性を実証するコードが公開されていることから、この脆弱性を悪用するマルウェアがいつ発生してもおかしくない状況になったことがわかります。つまり、この脆弱性は直ちに対応することが求められるというわけです。このように、資産情報さえ適切に管理できていれば、脆弱性と脅威情報を紐づけて対応の優先順位をつけることが可能です。脆弱性と脅威情報の収集も自動化することができれば、さらに効率的なセキュリティ管理をすることができるかもしれません。

セキュリティに人もお金もどこまでかけるべきか判断が難しい状況だからこそ、限られたリソースは有効に活用していきましょう。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。