米Yahoo! 情報漏えい、メール送信ライブラリに脆弱性――2016年末のセキュリティニュースまとめ：セキュリティクラスタ まとめのまとめ 2016年12月版（3/3 ページ）

「PHPMailer」のリモートからサーバのコマンドを実行できる脆弱性が公表される

　クリスマスも終わり半ば冬休み気分の2016年12月26日、PHPアプリケーションからメールを送信するためのライブラリ「PHPMailer」に、リモートからサーバのコマンドを実行可能できる脆弱性が存在することが公表されます。同時にPoCも公開されたため、たくさんの人が実際に「PHPMailer」経由でOSコマンドを実行させていました。

　この「PHPMailer」というあまり目にすることのないアプリケーションが大騒ぎとなったのは、実は「WordPress」や「Joomla!」などの有名なCMSのメール送信部分に使用されているなど、知らないところで多くのアプリケーションに組み込まれているからでした。

　とはいえ、脆弱性を突いてコードを実行するには、外部からメールアドレスに自由な文字列が設定できることなど幾つかの難しい条件があり、現実的に攻撃は難しいことが分かります。

　その後すぐにパッチとともに修正版の5.2.19が公開されていたのですが、修正が不十分だったようで、検証を行った人からの指摘を受け、修正が繰り返されていました。仕事納めにもかかわらず、対応に追われた人も多かったのではないでしょうか。

　また、同様の脆弱性が「Swift Mailer」や「zend-mail」など類似の機能を持つライブラリにもあるようです。ご自身の管理するアプリケーションで使用されていないか、確認した方がよいと思われます。

　この他にも、2016年12月のセキュリティクラスタは以下のような話題で盛り上がっていました。2017年はどのようなことが起きるのでしょうね。

• 総務省がホワイトハッカーを育成する「ネット通信教育」を始める
• 千葉大学主催のハッキングコンテスト始まる
• SECCONオンライン予選開催される
• OWASP Night開催される
• 電気通信大学などたくさんの大学のページが何者かによって書き換えられる
• 国交省の役人が上司のPCをこっそりいじって自分の評価を修正したのがバレる
• ソニーのネットワークカメラにバックドア
• ソニーのTwitterアカウントがハッキングされてブリトニー・スピアーズ事故死のツイートを行う