2021年11月7日に「MovableType7の脆弱性をつかれサイトが消し飛んだ話とMTアップデート」というブログ記事が公開されました。
内容は、ウェブサイトのCMS(コンテンツマネジメントシステム)であるMovableTypeの脆弱性の情報を把握していたけど放置していたら、勤務先のコーポレートサイトが改竄されてしまったという話になります。この記事の筆者の方はSixApartのサイトで情報「[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)」を把握していたみたいですが、きちんと読解が出来ていなかったようです。脆弱性は「OSコマンドインジェクション(リモートでサーバーOSのコマンドを実行できる脆弱性)」と書かれているんですけど、いろいろ残念です。
実は、脆弱性対策情報ポータルであるJVN(JVN#41119755)では「緊急」と書かれています。それくらいに危険な脆弱性という事になります。リモートでOSのコマンドを実行できるという事は最悪サーバーを乗っ取ることも可能であるという事になりますから。恐らく、こちらの情報を見ていれば迅速に対応したのだと思うのですが、先のSixApartのサイトの情報では緊急度は伝わっていないですね。ちなみに、JVNで「緊急」が付く脆弱性というのは「即日対応してください」というレベルのものになります。
このブログ記事には対応経緯も書かれていますが、非常にのんびりした性格の方のようで「危機感が全くない」のが驚かされます。対応作業を途中で放置して食事に出るというのは考えられないです。また、ブログ記事の終わりに「脆弱性が公式発表され2週間たらずで攻撃をうけるとは」と書かれていますが、通常は脆弱性が発見された段階(公開された段階ではないことに注意)で攻撃コードが飛んできます。なので、公式発表された段階で即日対応しないと改竄や情報漏洩に繋がりますので「2週間も攻撃を受けなくてラッキーでしたね」としか言いようがないです。
さて、いろいろ書いてきましたが問題点を整理しておきます。
- 脆弱性情報を知りながら放置していた
- 対応作業を中断し持場を離れた
このブログ記事の筆者の会社では筆者の所属している部署とは別に情報システム部門があるみたいです。脆弱性情報を把握したら情報システム部門に遅滞なく情報共有しましょう。そこには情報セキュリティに詳しい方がいらっしゃるかと思いますので、その後の対応が変わってくる可能性が非常に高いです。これは、脆弱性の中身に関係なく必要なことです。知識がないのに自分勝手に判断して放置はあり得ない対応です。
また、一度改竄されたサイトは根本原因を取り除かない限り、また、裏口が用意されている場合には塞ぐことが出来ない限り、何度でも改竄されます。改竄されたページを削除したり元に戻したりするだけで終わる事例も弊社では数多く確認していますが、そういう所は何度も改竄されたり、あるいは、大量の改竄がされたりしているのが確認されています。対応作業を途中で放置するなんてあり得ません。
以上のことから、私がこのブログ記事筆者の上司であったとしたら「職務怠慢」で懲戒処分にしていることでしょう。本来は被害に遭わないはずだった事故ですから…
最後に改めて。「脆弱性情報が出たら即日対応が基本」です。