この記事は日経 xTECH有料会員限定ですが、2018年5月11日5時まではどなたでもご覧いただけます。
オープンソースのコンテンツ管理システム(CMS)「Drupal」を狙った攻撃が相次いでいる。2018年3月末に見つかった脆弱性を突く攻撃が4月下旬まで継続。さらに4月25日には別の脆弱性が見つかり悪用されている。複数のサイバー攻撃者グループが競って該当の脆弱性を突いているという。CMSのセキュリティは見過ごされがち。管理者は対策が急務だ。
Drupalに深刻な脆弱性
CMS(Content Management System)とは、Webサイトで公開するコンテンツを管理するサーバーソフトウエアのこと。Webサイトを運営する負荷を軽減できるため、多くのWebサイトで利用されている。
2018年3月28日(米国時間)、広く使われているCMSの一つであるDrupalに、深刻な脆弱性が見つかったことが明らかにされた。脆弱性の識別番号は「CVE-2018-7600」。細工が施されたデータ(HTTPリクエスト)を送られるだけで、攻撃者が意図したコード(プログラム)を実行される恐れがあるという。
その結果Drupalを乗っ取られ、保存されている非公開のデータを窃取されたり、データを改ざんされたりする危険性がある。いわゆる、遠隔コード実行(RCE:Remote Code Execution)に分類される、非常に危険な脆弱性である。
今回の脆弱性は、一部で「Drupalgeddon2」と呼ばれている。Drupalには2014年10月にも危険な脆弱性が見つかり「Drupalgeddon」と名付けられている。それと同様の脆弱性なので、Drupalgeddon2と命名されたようだ。
Drupalgeddon2は非常に危険な脆弱性だったため、Drupalのセキュリティチームは3月21日(米国時間)の時点で、脆弱性の詳細は伏せたまま、1週間後に修正版をリリースすることを予告。そして3月28日に、予告通りに修正版を公開した。このためセキュリティ対策を適切に実施している企業・組織なら、問題なく修正できたと考えられる。
Drupalのセキュリティチームでは、修正版の公開後、数時間から数日以内に攻撃手法が開発される可能性があると予想。対策を至急実施するよう呼びかけた。修正版を解析されると、脆弱性の内容がわかってしまうからだ。これを受けて国内のセキュリティ組織やセキュリティベンダーも注意を呼び掛けた。
