Movable Typeの脆弱性と対策

Movable Typeはライセンス型の商用パッケージCMS。比較的セキュリティが高いCMSで、日本国内の企業や大学から高い支持を得ています。ここでは、Movable Typeの特徴や脆弱性、トラブルを解消する方法についてまとめています。

Movable Typeのセキュリティリスク

コマンドインジェクションの脆弱性

Movable Typeの脆弱性は「コマンドインジェクション」の部分。悪意を持つ第三者が、Webサイトからのデータ入力時に、特定のプログラムを紛れ込ませることで、OSを乗っ取って自在に操作する危険性があります。

Movable Typeの「コマンドインジェクション」に攻撃が加えられて起こるリスクには、次のようなものがあります。

  • ファイルの改竄や削除
  • ウィルス等のマルウェア感染
  • 情報漏えい
  • 他サイトへの攻撃の踏み台にされる など

自社が被害を受けるだけでなく、取引先にも迷惑がかかる可能性があるので、公式サイトの情報を定期的にチェックしてください。

Movable Typeのセキュリティ対策

頻繁に公開される修正プログラム

Movable Typeは、修正プログラムを公開するスピードが早いので、定期的な確認が必要。修正プログラムのダウンロードは、こまめに行いましょう。

自社でできるセキュリティ対策

Movable Typeを使う時に、自社でできるセキュリティ対策が数多くあります。

  1. 最新の Movable Type を利用する
  2. SSL 通信を有効にする
  3. パスワードを長くしてセキュリティ強度を上げる
  4. 管理画面に BASIC 認証をかける
  5. 認証ロックアウト機能設定で不正アクセスを防止
  6. CGI スクリプト名の変更 
  7. 利用していないCGIスクリプトに権限を与えない
  8. Data API によるアクセスの禁止や制限
  9. サーバー本体のセキュリティの見直し など

脆弱性の情報は、Movable Typeを提供している、シックス・アパート公式サイトで、随時に発表されているので、チェックしましょう。

【まとめ】 

Movable Typeは商用パッケージ型CMS。パッケージ型なので、セキュリティは高いと評価されているCMSですが、それでも脆弱性がゼロではありません。脆弱性について、公式サイトで徹底した情報公開をすることで、第三者に脆弱性を悪用されることを予防。以前問題になった「コマンドインジェクションの脆弱性」についても、修正プログラムを配布。トラブルに対応しやすくなっています。自社でできるセキュリティ対策の情報も多数あるので、定期的にに公式サイトの内容をチェックすることで、トラブルを未然に防げます。

セキュリティが高いおすすめパッケージ型CMS比較

セキュリティが高いおすすめパッケージ型CMS比較

WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。

基幹システムと連携できサイト内検索をデフォルト搭載

HeartCore CMS

引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja

こんなサイトにおすすめ

導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト

  • ECサイト
  • 基幹システム
    連携
  • 顧客・SEO解析したい
  • 数千~数万
    ページ
分類 動的CMS
サイト
規模
数千~数万ページ程度
主な
機能
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能
導入先企業 日本航空、三菱UFJモルガン・スタンレー証券など

公式サイトから
操作感がわかるデモを
依頼してみる

HeartCore CMSの詳しい機能や
導入事例を見てみる

Adobe Creative Cloudとのネイティブ連携できる唯一のCMS

Adobe Experience
Manager Sites

引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html

こんなサイトにおすすめ

豊富なマーケティング機能を駆使して成果改善したい大規模サイト

  • Adobe製品
    と連携
  • 動画や音声を
    利用
  • 大規模な企業
    サイト
  • 数万ページ以上
分類 動的CMS
サイト
規模
数万ページ以上
主な
機能
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳
導入先企業 mastercard、kaoなど

公式サイトから
導入の相談をしてみる

詳しい機能や
導入事例を見てみる

変更したパスワードを本人だけに通知できる

NOREN

引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645

こんなサイトにおすすめ

更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト

  • イントラサイト
  • 多段階承認
    したい
  • 中規模サイト
  • 数千~数万
    ページ
分類 静的CMS
サイト
規模
数千~数万ページ程度
主な
機能
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品
導入先企業 伊藤忠商事、神戸製鋼所など

公式サイトから
操作感がわかる
デモを依頼してみる

詳しい機能や
導入事例を見てみる

※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS

【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS