【重要】Movable Typeの脆弱性を用いたwebサイト改ざんに関する注意喚起

2021年11月24日
平素はミライネットサービスをご利用いただき誠にありがとうございます。

Movable Typeの「XMLRPC APIにおける脆弱性」(※1)が発表され、これを利用した「webサイト改ざん」や「攻撃の踏み台」にされる事象が発生しております。
弊社においてもお客様のWebサイト改ざんを検知するケースが増加しております。

改ざん・踏み台の被害にあわないよう、以下の内容をご確認の上、必要な処置を行っていただけますようお願いいたします。

※1「XMLRPC API」:
Movable Typeにおいて外部投稿ツール等を利用することができる仕組みです。
XML-RPC機能は将来的に廃止される可能性があり、Movable Type7以降では非推奨とされております。
この機能を利用しないWEBサイトでは、安全確保の為に無効にしていただくことをお勧めしております。


<無効にした場合の注意点>
以下の機能がご利用いただけなくなります。

・スマホアプリ経由等でリモートで記事を投稿・編集・削除する、ファイルをアップロードすること。
・外部投稿ツールを用いての記事の編集・新規作成等。

<お願いしたい処置>
・脆弱性の影響を受ける可能性のある以下バージョンをお使いの場合、直ちに最新版へバージョンアップいただくようお願いいたします。
・Movable Type 7 r.5003 より前のバージョン
・Movable Type Advanced 7 r.5003 より前のバージョン
・Movable Type 6.8.3 より前のバージョン
・Movable Type Advanced 6.8.3 より前のバージョン
・Movable Type Premium 1.47 より前のバージョン
・Movable Type Premium Advanced 1.47 より前のバージョン

・「mt-xmlrpc.cgi」というファイルについて、外部から実行できないよう権限の見直しをお願いいたします。

・webサイトの領域にお客様が作成した覚えのないファイル(phpファイル)やフォルダが作成されていないか、今一度ご確認をお願いいたします。

 
お問い合わせ

ファックス:0584-82-3250
メール:https://ssl.mirai.ad.jp/mrs/mailform/
受付時間 10:00〜12:00 / 13:00〜17:00(土日祝日・年末年始を除く)

表示金額は税込み(税率10%)