連載
» 2016年05月12日 05時00分 公開

CMSのプラグイン、何でもかんでも入れてませんか?セキュリティ・アディッショナルタイム(6)(3/3 ページ)

[高橋睦美,@IT]
前のページへ 1|2|3       

複数のLinuxディストリビューションにも影響、ImageMagickの脆弱性

 ここまで記した後の2016年5月3日、JPCERT/CCなど複数のセキュリティ組織が、画像処理ソフト「ImageMagick」に複数の脆弱性(ImageTragick)が存在し、悪用されれば任意のOSコマンドが実行される恐れがあるとし、注意を呼び掛けた。対策は、開発元のImageMagick Studio LLCが公開した修正ソフトウェアを適用することだ。

 JPCERT/CCはアドバイザリの中で、「ImageMagickを内部的に利用するWebアプリケーションを使用している場合には、本脆弱性の影響を受ける可能性があるため、本ソフトウエアのアップデートなどの対策を行うこと」を推奨し、問題を修正したImageMagick 6.9.4-0/7.0.1-2への更新を推奨している。

 おそらく、個別にImageMagickをビルドしたのではなく、Linuxディストリビューションのパッケージとして導入している環境は少なくないはずだ。こうした環境では、ディストリビュータが修正パッケージを用意するまで、開発元が公開している情報を基に、ImageMagick の設定ファイル (policy.xml) の設定を変更する回避策を取ることが望ましい。

 このソフトウェアは多くのLinuxディストリビューションやPHP、Rubyといったソフトウェアにも含まれており、これらの環境でも影響を受ける恐れがある。先に不正アクセスのターゲットとなったケータイキット for Movable Typeでも利用されており、開発元であるアイデアマンズは2016年5月10日、ImageTragickを含む複数の脆弱性を修正したバージョン1.66を公開している

 このように、導入したソフトウェアが内部的に利用している別のソフトウェアやライブラリの脆弱性が、自社のWebサイトに影響を及ぼす可能性は少なくない。バンドルソフトウェアも同様で、実は、スカイアークが提供しているCMS「MTCMS Smart」「MTCMS Standard」「MTCMS Enterprise」には、ケータイキット for Movable Typeが同梱されており、同社ではアップデートを呼び掛けていた。

 ツールの充実によって、手軽にできることが広がった反面、そのバックグラウンドではさまざまなソフトウェアが連携し、複雑さを増している。それら全てについて、セキュリティ情報をチェックし、必要に応じてアップデートできるスキルが確保できているかどうか、今一度検討する必要があるのではないだろうか。また、その作業を手助けするため、加工食品の「原材料表示」と同じように、アプリケーションソフトウェアにどんなソフトウェアやライブラリが含まれているのかを手軽に確認できる方法があってもいいのかもしれない。

「何でもかんでも入れる」はやめ、基本の徹底を

 PCの普及によって誰もが簡単にインターネットを利用できるようになったのと同じように、CMSによって誰でも簡単にWebサイトを構築し、公開できるようになった。だがその結果、より多くの人がCMSとプラグインに存在する脆弱性の影響を受けるようになっている。今一度、自分たちが何を使っているのかを把握し、理解することを徹底すべきだろう。

 使う側であれば、できる限りCMSが備える自動アップデート機能を使い、またいざというときはリカバリできるようにバックアップイメージを取得しておくことが望ましい。プラグインを選ぶ際には「使っている人が多い場合、それだけ狙われる可能性はあるが、枯れているという利点もある。代替策が用意される可能性もあり、リスクは低いかもしれない」と徳丸氏は述べた。

 いずれにせよ「何でもかんでもプラグインを入れるのはやめるべき。何も難しいことではなく、管理者用パスワードをきちんと管理するなど、面倒くさくても基本をきちんとやることが重要だ」と徳丸氏は述べている。

 そしてもし何らかのプラグインを開発し、提供する側であれば、プレースホルダを適切に使う、認証をきちんと実施するといった安全なコーディングの基本を徹底するとともに、問題が見つかったときには速やかにユーザーに告知する手段を整えておくべきだろう。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。