ブロッキングすべきか、別の道を選ぶべきか?:セキュリティクラスタ まとめのまとめ 2018年4月版(3/3 ページ)
「Drupalgeddon2」公開される
日本ではあまり使われていないようですが、世界的には利用者が多い「Drupal」というCMSがあります。この「Drupal」に誰でもリモートからサーバのコマンドを実行できる脆弱(ぜいじゃく)性が公開されて、大きな話題となりました。
2018年3月末に脆弱性の予告と修正が出ていたものの、実際の攻撃コードが出回っておらず、本当に簡単に攻撃できるのかできないのか分からないまま、忘れ去られそうな状況にありました。ところが、4月13日に「Drupalgeddon2」と名付けられた攻撃コードが公開されます。なお、「Drupalgeddon」は2014年に公開された攻撃コードです。リモートから誰でも「Drupal」が動いているサーバのOSコマンドを実行することが可能な脆弱性で、これと同じくらいのインパクトがあるということから、名付けられたようです。
実際の攻撃コードを見ると非常に簡単でした。これは誰でも簡単に攻撃できると、環境を構築して試したり、攻撃を検証したレポートを作成したりして、公開する人たちが現れました。当初公表されていたPoC(概念実証)コードでは攻撃対象が限定されていたようですが、その後、さまざまな環境で動作可能なものが公開されています。
日本であまり普及していないこととは関係なく、日本のサイトに対しても無差別に攻撃は行われているようです。JPCERT/CCは、実際の攻撃が行われていることを注意喚起し、監視サービスからの連絡を報告するツイートもありました。
さらに「Drupalgeddon 2.1」または「Drupalgeddon 3」と名付けられた新たなDrupalの脆弱性も公表されています。こちらはログインが必要なようで、いくぶん攻撃は難しそうです。しかし、リモートからサーバ内のOSコマンドの実行ができるようです。こちらについてもたくさんの人が試していました。
この他にも4月のセキュリティクラスタは次のような話題が注目されていました。5月はどのようなことが起きるのでしょうね。
- テレビで紹介された安全で覚えやすいパスワードを作るワザがひどい?
- 日本政府の中央省庁2000人余りのメールアドレスが流出してネット上で売買
- Facebook、20億人の個人情報を漏らしていた
- Java向けのSpring Framework、リモートコード実行の脆弱性を狙われる
- ケイ・オプティコムのMVNOサービス「mineo」、通信の最適化を始める
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。