プレスリリース

～ 警察庁ウェブサイトによると、12月以降も Movable Type の脆弱性を狙う攻撃が観測されています。
10月20日に公開した対策を未実施の方は、可及的速やかにご確認をお願いします ～

2021年12月14日
シックス・アパート株式会社

シックス・アパート株式会社は、2021年10月20日に公開した Movable Type に存在する XMLRPC API の脆弱性について、被害の拡大を防止するため再度の注意喚起を行います。

脆弱性を利用した攻撃による被害が、12月に入っても引き続き観測されています。未対策の利用者だけでなく、かつて利用していた方々にも、可及的速やかに確認と対策の実施をお願いします。また、本件につき、すでにご対応いただいた方に感謝いたします。

＜被害状況＞

脆弱性を利用した攻撃は11月初旬から観測されています。見知らぬ PHP ファイルなどの設置や .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害の発生も複数件、確認しています。

警察庁のウェブサイトによると、12月に入っても Movable Type の脆弱性を狙う攻撃が観測されているとのことです。

▶ Movable Type及びPowerCMSのXMLRPC APIにおける脆弱性（CVE-2021-20837及びCVE-2021-20850）を標的とした攻撃の観測について | 警察庁 @police

＜対象製品＞

• Movable Type 7 r.4201 - r.5002
• Movable Type 6.0.0 - 6.8.2
• Movable Type 5.0 - 5.2
• Movable Type 4.0 - 4.381
• Movable Type Advanced 7 r.4501 - r.5002
• Movable Type Advanced 5.0. - 6.8.2
• Movable Type Premium (Advanced) 1.0 - 1.46

※ Movable Type クラウド版は、すべての環境で本脆弱性の対策が完了しています。
※ MovableType.net は、本脆弱性の影響はありません。

現在 Movable Type を利用していなくても、サーバーにインストールしたままになっていると脆弱性を利用した攻撃が成功してしまう可能性があります。以前、利用していたという方も以下の対応をお願いいたします。

＜対象製品をご利用のすべての方に行っていただきたい対策＞

Movable Type のアップデートもしくは、XMLRPC API へのアクセス制限

• 脆弱性対策済の Movable Type 最新版へのアップデートを行ってください。
• アップデートが難しい場合には、XMLRPC API へのアクセスを制限する（API を削除するなど）の対処を行ってください。
• Movable Type を利用していない方は、サーバーから削除してください。

攻撃による被害の有無の確認

• 脆弱性への対策を行う前に攻撃を受けていた可能性があります。サーバー上に不審なファイルがないか、ログに不審な形跡がないかを確認してください。

＜被害を受けた場合の対処＞

• サーバー上で不正なプログラムが実行され、不正なファイルの設置、ファイルの削除や改ざんなどが行われている可能性があります。ページの改ざんや情報漏洩、不正なプログラムの実行などの被害がないか確認してください。被害が見つかった場合、警察への相談もご検討ください。
• 攻撃が成功していた場合、複数のバックドアが設置されている可能性があります。脆弱性対策や不正なファイルの除去だけでは不十分な場合もありますので、復旧には被害を受けるまえのバックアップから復元することをお勧めします。制作会社、もしくはセキュリティの専門家などにもご相談ください。

＜Movable Type 最新版の入手＞

Movable Type 最新版の入手方法ならびに、本件のより詳細な情報については、以下のリンク先をご参照ください。

▶ [重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始（セキュリティアップデート）

今後も継続して Movable Type を利用する場合には、最新版をご利用いただくことを推奨します。合わせて安全に Movable Type を利用する方法について記したセキュリティ対策ガイドをご参照ください。

▶ Movable Type セキュリティ対策ガイド

Six Apart、Movable Type、Lekumo は、シックス・アパート株式会社の登録商標です。