「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月：セキュリティクラスタ まとめのまとめ 2015年12月版（3/3 ページ）

あっという間に年も明け、2016年を迎えました。昨年末のセキュリティクラスタを振り返ってみると、「SECCON 2015」開催の一方で、vvvウイルスこと「TeslaCrypt」が話題になり、感染源や対策に関する情報が盛んにやりとりされました。また12月中旬にはオープンソースCMS「Joomla!」の深刻な脆弱性が公表され、その原因をめぐって議論が巻き起こりました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

「Joomla!」のリモードコード実行脆弱性、本当はphpが悪かった

　12月14日には、世界中で多数の組織や会社のWebサイト構築に使用されているオープンソースのCMS「Joomla!」において、リモートから認証なしでサーバコードを実行できてしまうという最悪の脆弱性が公表されました。この脆弱性は、誰かが見つけて公表したというわけではなく、既に発生している攻撃の対象となったサーバのログから発見されたようです。

　攻撃方法は、「HTTPリクエストヘッダに攻撃コードを仕込んで送信するだけ」という誰でも実行可能なものでした。しかも、インターネット上に攻撃コードが出回っていたため、すぐにでもアップデートが必要という状況でした。

　ただ、世界的にはメジャーなCMSであるため、たくさんの攻撃が行われていることが確認されていますが、日本ではそれほどユーザーが多くないのか、対応に追われている人はあまり見かけなかった印象です。

　また、当初はJoomla!の脆弱性ということで緊急のアップデートが配布されましたが、原因をたどっていくと、実はphpの脆弱性とMySQLの仕様に由来する脆弱性だということが分かりました。実際に、脆弱性のない新しいバージョンのphpを使用しているシステムや、MySQL以外のデータベースを使用している環境では、攻撃が失敗するという報告も行われていました。

　とはいっても、Webサーバで動いているphpのバージョンは最新でないことも多く、またレンタルサーバなどでは自分でバージョンをコントロールできない場合がほとんどです。Joomla!を使っている方は、バージョンアップが必須だといえるでしょう（簡単に自動アップデートできます）。なお、日本の組織でも、この攻撃によりサーバのデータが書き換えられたのではないかという事例が何件か報告されています。

　また、この脆弱性は2015年11月の「Apache Commons Collection」の脆弱性と同様、オブジェクトのデシリアライズの際に攻撃が行われるものであったため、「できるだけデストラクタに頼らない方がいいのではないか」とする意見もありました。

関連記事

「Apache Commons Collections」の脆弱性で大騒ぎ

---

この他にも、2015年12月のセキュリティクラスタは以下のような話題で盛り上がっていました。2016年はどのようなことが起きるのでしょうね。

• Internet ExplorerのXSSフィルターを使ってXSSを行う手法、少し公開される
• GPSを使って全ての車にウイルスを送り込むことってできるの？
• 堺市の職員が68万人の個人情報をお持ち帰りしてインターネットに公開してしまう
• 10万3000人分の健康保険証情報が名簿屋に売られていたことが判明
• 安倍晋三公式サイトがDDoS攻撃を受ける
• 中国ハッカーは日本企業よりホワイトな職場で働いている？

「セキュリティクラスター まとめのまとめ」バックナンバー

• 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
• 「4万人のボランティアが守る東京オリンピック」？――セキュリティクラスターの反応は
• サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
• 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
• 技術ある17歳が牙をむく――私たちに何ができたのか
• 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない？
• 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
• 名前はなくても危険、IISの脆弱性が注目を集める
• 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
• SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
• 「GHOST」の正体見たり枯れ尾花？ 名前には踊らされなかったセキュリティクラスター
• CODE BLUEにSECCONに、リアルが忙しかった12月
• まるでCTFみたい？ 鮮やかに暴かれた「自称小学4年生」のサイト
• ちっともかわいくなかった、セキュリティ界の「POODLE」
• ShellShockに管理者はショック！ パスワード定期変更の議論どころではない？
• 「www.atmarkit.co.jp.3s3s.org」は安全？ 危険？
• ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
• LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
• 急転直下の結末を迎えた遠隔操作ウイルス事件
• HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
• 遠隔操作ウイルス事件でフォレンジックを考えた
• 終わらないパスワード議論と、広告に求められる誠実さと
• 安全なオンラインアップデートってどうすべきだろう？

著者プロフィル

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。