「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用

　Movable Typeのプラグイン「ケータイキット for Movable Type」の画像処理機能にOSコマンドインジェクションの脆弱性があるとして、同プラグインの開発元であるアイデアマンズ株式会社が23日、この脆弱性を修正した最新バージョン「1.65」を公開した。

　この脆弱性は、バージョン「1.35」〜「1.641」に影響する。悪意のある任意のリクエストパラメーターにより、任意のOSコマンドを実行される可能性があるとしている。アイデアマンズでは、対象バージョンの利用者に対して、修正済みバージョンに必ずアップグレードするよう呼び掛けている。

　なお、何らかの理由で最新バージョンへのアップデートが一時的にできない場合の対処として、「1.35」〜「1.641」の各バージョンに対応する緊急パッチファイルも提供している。ただし、原則として最新バージョンへのアップデートを行うよう呼び掛けており、「1.641」用の緊急パッチファイルを適用された場合でも必ずバージョンアップするよう呼び掛けている。

　シックス・アパート株式会社でもこの脆弱性についてアナウンスしており、ケータイキット for Movable Typeの利用者に対してアップデートを呼び掛けている。なお、Movable Typeクラウド版で提供しているケータイキットについては、すでにシックス・アパートで緊急パッチファイルを適用して対応済みだという。

【追記 16:40】
　ケータイキット for Movable Typeのコマンドインジェクションの脆弱性を突いた攻撃がすでに発生している。株式会社J-WAVEは22日、同社のホームページに不正アクセスがあり、保有する個人情報のうち約64万件が流出した恐れがあると発表した。不正アクセスの原因となったソフトがケータイキット for Movable Typeだという。

　このほか、日本テレビ放送網株式会社が21日、OSコマンドインジェクションによる不正アクセスで約43万件の個人情報が流出した恐れがあることを発表しているが、同社では原因となったソフトの具体的な名称は公表していない。