PHPの脆弱性によるMovable Typeの影響について

PHPの脆弱性 (CVE-2024-4577) を悪用した攻撃での被害が増えているようです。弊社で利用することが多いMovable Typeでは、どのような影響があるか、Movable Typeを提供するシックス・アパート社から注意喚起がありました。

[注意喚起] PHP の脆弱性（CVE-2024-4577）による Movable Type をお使いのお客様への影響について

PHPの脆弱性 (CVE-2024-4577)を狙った攻撃が3ヶ月で約10倍に

情報セキュリティの調査や情報発信を行う「IPA独立行政法人 情報処理推進機構」から、7月5日に公開された記事は、PHPの脆弱性 (CVE-2024-4577)について注意喚起を行うものでした。

企業や組織のネットワークとインターネットとの境界に設置される、セキュリティ製品の脆弱性を狙った「ネットワーク貫通型攻撃」の被害が増えているようです。ネットワーク貫通型攻撃によって、ネットワークの内部に侵入された場合、情報漏洩や改ざんの他、他組織への攻撃の踏み台とされて、知らずに攻撃に加担してしまうことがあるようです。

国内2万4000以上のサイトを対象とした調査の結果、6月7日以降にPHPの脆弱性（CVE-2024-4577）を狙ったサイバー攻撃が急増しており、直近3カ月の平均では最大10倍の攻撃が検知されているようです。

企業サイトや個人情報を扱うサイトでは対策が必要でしょう。

PHP CGIの脆弱性（CVE-2024-4577）を狙った攻撃が急増、3カ月で約10倍に

PHPの脆弱性 (CVE-2024-4577)への対応

IPA独立行政法人 情報処理推進機構によると、ネットワーク貫通型攻撃への対策の１つとして、日頃から製品ベンダの発信情報を収集することを挙げています。

ウェブサイトの管理や更新に使われるCMSは、サイバー攻撃の対象となりやすく、増加傾向にあります。

荒川印刷で導入事例が多いCMS「Movable Type」は、比較的セキュリティリスクの少ない製品ですが、それでも攻撃対象となり可能性はあります。

Movable Typeの製品ベンダであるシックス・アパート社からもPHPの脆弱性 (CVE-2024-4577)についての注意喚起が行われ、サイトとメールにてMovable Typeへの影響と対策方法のお知らせがありました。

PHPの脆弱性 (CVE-2024-4577)は、PHPをCGIモードで使用する際に発生する問題であり、Windows OS で動作する PHP 8.3.8 以前のバージョンで影響を受けるとのことです。WindowsサーバーにMovable Typeをインストールしている場合に対応が必要なようです。

影響を受けるシステム

Windows 上で動作する以下のバージョン

• PHP 8.1.29より前の8.1系
• PHP 8.2.20より前の8.2系
• PHP 8.3.8より前の8.3系

当てはまる場合は、脆弱性に対応した下記バージョンへのアップデートが必要です。

• PHP 8.1.29以降
  
• PHP 8.2.20以降
• PHP 8.3.8以降

この脆弱性を悪用した攻撃によりシステムに深刻な影響を及ぼす可能性があるとのこと。できるだけ早く、PHPの最新バージョンへのアップデートを推奨します。

将来的な脆弱性を避けるためのベストプラクティス

将来的な脆弱性を避けるためには、次のような項目を実践することが重要です。

1. セキュリティ意識の向上：定期的にセキュリティ情報を収集し、最新の脆弱性や攻撃手法に対する知識を身につけましょう。

2. コードの検証とテスト：開発段階からセキュリティを意識したコーディングを行い、適切なテストを実施しましょう。

3. バックアップと復旧策の準備：定期的なバックアップを行い、万が一の際には迅速な復旧が可能な体制を整えましょう。

4. セキュリティチェックの実施：定期的にセキュリティチェックを行い、早期に脆弱性を発見・修正することが重要です。

ただし、日常的に実施するのは難しく、後回しになってしまうことも少なくありません。Movable Typeを利用する場合も、従来型のインストール型ではなく、シックス・アパート社が管理するクラウド型やウェブサービス（SaaS）型を利用するケースも増えています。

サーバーのセキュリティ対応やバージョンアップなどの手間もコストになります。サーバー管理を任せてしまうのも選択肢としてはおすすめです。