2014 年 8 月 24 日シックス・アパート株式会社

長内　毅志

Movable Type と CMS のセキュリティ

•長内毅志–2011 年～　 Movable Type プロダクトマネージャー

–2014 年～　ディベロッパーリレーションマネー

ジャー

　　　　　 エバンジェリスト

–ダンスとジョギングと家族が大好きです。

アジェンダ

•最近の Web 改ざん

•どのような攻撃が存在するか

•Movable Type の特徴と安全性

•安全性を高めるために

最近の Web 改ざん

データ出典： JPCERT/CC インシデント報告対応レポートグラフ： http://www.nca.gr.jp/2013/web201303/

ガンブラー

http://www.ipa.go.jp/security/txt/2013/07outline.html

最近の改ざん手法

http://www.ipa.go.jp/security/txt/2013/07outline.html

•CMS の管理権限を奪取してウェブサイ

トを改ざん

•CMS の公開ディレクトリに任意のファ

イルをアップロードしてウェブサイト

を改ざん

CMS に関するハッキングの傾向

•20% は CMS のコア部分にある脆弱性

への攻撃、 80% はプラグインなど周

辺プログラムの脆弱性を狙った攻撃

BSI 「 Content Management Syttem 」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia 　 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

•http://jvndb.jvn.jp/

ここまでのまとめ

•最近のウェブ改ざんは、ウェブサー

バーや CMS の脆弱性を狙って攻撃す

るケースが多い

どのような攻撃が存在するか

もっとも多いパターン

•使用されている CMS を識別して攻撃

http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

ブルートフォースアタック ( 総当り攻撃 )

イラスト：「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html

ファイルアップロード攻撃 ( バックドア )

イラスト：「 2014 年版 情報セキュリティ 10 大脅威」より

http://www.ipa.go.jp/security/vuln/10threats2014.html

その他

•SQL インジェクション

•CSRF

•XSS

–主にソフトウェアの脆弱性を付くもの

ここまでのまとめ

•CMS が特定できると、攻撃しやすい

•総当たり攻撃やファイルアップロード

攻撃など、攻撃者は CMS とプラグイ

ンの脆弱性を狙って攻撃をおこなう

Movable Type の特徴と安全性

CMS サーバーと公開サーバーの分離

ロックアウト

アップロードファイルの制限設定

•AssetFileExtensions

–アップロードできるファイルの種類を制限

•DeniedAssetFileExtensions

–アップロードできないファイルを設定

ジェネレーター情報の消去

• https://www.ipa.go.jp/security/topics/alert20130913.html

ここまでのまとめ

•Movable Type は安全性を高めるため

の設定・機能が揃っている

Movable Type の安全性を

さらに高めるために

最新版を使う

•最新版を使う

管理画面に Basic 認証をかける

•管理画面に Basic 認証をかける

CGI スクリプトの名称を変える

•CGI スクリプトの名称を変える

–AdminScript

•管理プログラムの CGI スクリプト名を設定します

–UpgradeScript

•アップグレードスクリプトを設定します

使わない CGI スクリプトの権限を変える

•使わない CGI スクリプトの権限を変え

る

–MT のコメント機能を利用していない

•mt-comments.cgi の実行権限を無くす

–トラックバック機能を利用していない

•mt-tb.cgi の実行権限を無くす

例

–Data API 機能を利用していない

•mt-data-api.cgi の実行権限を無くす

–ログフィード機能を利用していない

•mt-feed.cgi の実行権限を無くす

–公開サイトで MT の検索機能を利用していな

い

•mt-search.cgi, mt-ftsearch.cgi の実行権限を無く

す

ロックアウト設定をする

パスワードの強度を上げる

•パスワードの強度を上げる

パスワードの桁数と組み合わせの種類

文字種の数 4 桁 6 桁 8 桁

10 種( 数字のみ )

1 万 100 万 1 億

26 種( 英小文字 )

約 46 万 約 3 億 約 2 千億

62 種( 英数字 )

約 1500 万 約 570 億 約 220 兆

94 種( 英数記号 )

約 7800 万 約 6900 億 約 6100 兆

「 Web 担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6

参考

https://howsecureismypassword.net/

•Movable Type を

安全に利用するために

http://www.movabletype.jp/blog/

secure_movable_type.html

まとめ

•常に最新版へアップデートすることが

改善防止につながる

•Movable Type の設定を調整すること

で、さらに安全性は高まる