連載
» 2016年01月08日 05時00分 公開

セキュリティクラスタ まとめのまとめ 2015年12月版:「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月 (3/3)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]
前のページへ 1|2|3       

「Joomla!」のリモードコード実行脆弱性、本当はphpが悪かった

 12月14日には、世界中で多数の組織や会社のWebサイト構築に使用されているオープンソースのCMS「Joomla!」において、リモートから認証なしでサーバコードを実行できてしまうという最悪の脆弱性が公表されました。この脆弱性は、誰かが見つけて公表したというわけではなく、既に発生している攻撃の対象となったサーバのログから発見されたようです。

 攻撃方法は、「HTTPリクエストヘッダに攻撃コードを仕込んで送信するだけ」という誰でも実行可能なものでした。しかも、インターネット上に攻撃コードが出回っていたため、すぐにでもアップデートが必要という状況でした。

 ただ、世界的にはメジャーなCMSであるため、たくさんの攻撃が行われていることが確認されていますが、日本ではそれほどユーザーが多くないのか、対応に追われている人はあまり見かけなかった印象です。

 また、当初はJoomla!の脆弱性ということで緊急のアップデートが配布されましたが、原因をたどっていくと、実はphpの脆弱性とMySQLの仕様に由来する脆弱性だということが分かりました。実際に、脆弱性のない新しいバージョンのphpを使用しているシステムや、MySQL以外のデータベースを使用している環境では、攻撃が失敗するという報告も行われていました。

 とはいっても、Webサーバで動いているphpのバージョンは最新でないことも多く、またレンタルサーバなどでは自分でバージョンをコントロールできない場合がほとんどです。Joomla!を使っている方は、バージョンアップが必須だといえるでしょう(簡単に自動アップデートできます)。なお、日本の組織でも、この攻撃によりサーバのデータが書き換えられたのではないかという事例が何件か報告されています。

 また、この脆弱性は2015年11月の「Apache Commons Collection」の脆弱性と同様、オブジェクトのデシリアライズの際に攻撃が行われるものであったため、「できるだけデストラクタに頼らない方がいいのではないか」とする意見もありました。


この他にも、2015年12月のセキュリティクラスタは以下のような話題で盛り上がっていました。2016年はどのようなことが起きるのでしょうね。

  • Internet ExplorerのXSSフィルターを使ってXSSを行う手法、少し公開される
  • GPSを使って全ての車にウイルスを送り込むことってできるの?
  • 堺市の職員が68万人の個人情報をお持ち帰りしてインターネットに公開してしまう
  • 10万3000人分の健康保険証情報が名簿屋に売られていたことが判明
  • 安倍晋三公式サイトがDDoS攻撃を受ける
  • 中国ハッカーは日本企業よりホワイトな職場で働いている?
「セキュリティクラスター まとめのまとめ」バックナンバー

著者プロフィル

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。