オープンソースのコンテンツ管理システム(CMS)「Drupal」を狙った攻撃が相次いでいる。2018年3月末に見つかった脆弱性を突く攻撃が4月下旬まで継続。さらに4月25日には別の脆弱性が見つかり悪用されている。複数のサイバー攻撃者グループが競って該当の脆弱性を突いているという。CMSのセキュリティは見過ごされがち。管理者は対策が急務だ。

Drupalに深刻な脆弱性

 CMS(Content Management System)とは、Webサイトで公開するコンテンツを管理するサーバーソフトウエアのこと。Webサイトを運営する負荷を軽減できるため、多くのWebサイトで利用されている。

 2018年3月28日(米国時間)、広く使われているCMSの一つであるDrupalに、深刻な脆弱性が見つかったことが明らかにされた。脆弱性の識別番号は「CVE-2018-7600」。細工が施されたデータ(HTTPリクエスト)を送られるだけで、攻撃者が意図したコード(プログラム)を実行される恐れがあるという。

今回の脆弱性を悪用した攻撃のイメージ
(出典:三井物産セキュアディレクション(MBSD)の検証レポート)
[画像のクリックで拡大表示]

 その結果Drupalを乗っ取られ、保存されている非公開のデータを窃取されたり、データを改ざんされたりする危険性がある。いわゆる、遠隔コード実行(RCE:Remote Code Execution)に分類される、非常に危険な脆弱性である。

 今回の脆弱性は、一部で「Drupalgeddon2」と呼ばれている。Drupalには2014年10月にも危険な脆弱性が見つかり「Drupalgeddon」と名付けられている。それと同様の脆弱性なので、Drupalgeddon2と命名されたようだ。

 Drupalgeddon2は非常に危険な脆弱性だったため、Drupalのセキュリティチームは3月21日(米国時間)の時点で、脆弱性の詳細は伏せたまま、1週間後に修正版をリリースすることを予告。そして3月28日に、予告通りに修正版を公開した。このためセキュリティ対策を適切に実施している企業・組織なら、問題なく修正できたと考えられる。

 Drupalのセキュリティチームでは、修正版の公開後、数時間から数日以内に攻撃手法が開発される可能性があると予想。対策を至急実施するよう呼びかけた。修正版を解析されると、脆弱性の内容がわかってしまうからだ。これを受けて国内のセキュリティ組織やセキュリティベンダーも注意を呼び掛けた。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料会員と登録会員に関するFAQはこちら