ブログ

[ホームページを「できる営業マン」にする方法]

脆弱性は忘れたころに。

このエントリーをはてなブックマークに追加

文/田中 秀史 :: 2021.12.08

弊社では、CMSを使ったサイト構築ではプラットフォームとして、
Movable Type(以下、MT)を主に利用しています。

CMSとしてメジャーなWordpressではなく、世間的にはマイナーな
MTを使う利用は、ソフトウェアの性質上、セキュリティリスクが
低いMTの方が、企業サイトの利用には適していると考えている
からです。

セキュリティ面を考慮してお客様からMTを指名されることも
ありますが、そんなMTでも100%安全ではないことが言える
出来事が最近ありました。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html


リンク先の記事は技術的な記述になりますが、
かいつまんで説明すると、スマホアプリなどからMTへの投稿を
受け付ける機能を利用することで、サーバーOSへの第三者による
アクセスが可能な脆弱性が存在していた、という内容になります。

上記の機能を利用していない場合は、同機能を無効にしておけば
今回に被害にはあることはありませんでしたが、そのままになって
いたサイトでは少なくない確率で被害にあっていたようです。

ちなみに私は臆病なので、CMSに限らずプログラムの類いは使って
いない機能は、一切がっさいOFFにする習慣が身についています。

なので、今回の被害からは逃れることが出来ました。
自分で自分を褒めてあげたいと思います。

さて、今回発覚した脆弱性はMTのver4から存在していたとのこと。
調べたところ、MT4がリリースされた2007年8月なので、
実に14年ぶりに発見された不具合になります。

ところ、今回のMTの不具合は、
事前のその存在と危険性についてアナウンスがあり、
そのタイミングで対策をしていれば被害に合うことは
まず無かったと思います。

弊社でも上記タイミングで一通りのチェックをしました。

危険から身を守るためには、普段の情報収集アンテナを
広げておくことも重要ですね。

2021.12.08


THEME

ARCHIVE


ブログトップへ

CONTACT USお問い合わせ

Webマーケティング・Web制作に関するご相談に、お答えします

ホームページからのお問い合わせ

お問い合わせ・ご相談

お電話でのお問い合わせ

03-6661-2210

平日9:30 - 17:30

BLOGブログ

MAIL
MAGAZINEメールマガジン

ホームページを
できる営業マンにする方法

顧客獲得・売上UP!を実現するWebマーケティング、セミナー、SEO対応ホームページ制作(サイト構築)、リスティング広告、アクセス解析など、実践型ノウハウ満載のWebマーケティングコラム。ビジネスブログやセミナー情報も。