2021年11月24日
注意喚起
【重要】Movable Typeの脆弱性を用いたwebサイト改ざんに関する注意喚起
平素はミライネットサービスをご利用いただき誠にありがとうございます。
Movable Typeの「XMLRPC APIにおける脆弱性」(※1)が発表され、これを利用した「webサイト改ざん」や「攻撃の踏み台」にされる事象が発生しております。
弊社においてもお客様のWebサイト改ざんを検知するケースが増加しております。
改ざん・踏み台の被害にあわないよう、以下の内容をご確認の上、必要な処置を行っていただけますようお願いいたします。
※1「XMLRPC API」:
Movable Typeにおいて外部投稿ツール等を利用することができる仕組みです。
XML-RPC機能は将来的に廃止される可能性があり、Movable Type7以降では非推奨とされております。
この機能を利用しないWEBサイトでは、安全確保の為に無効にしていただくことをお勧めしております。
<無効にした場合の注意点>
以下の機能がご利用いただけなくなります。
- スマホアプリ経由等でリモートで記事を投稿・編集・削除する、ファイルをアップロードすること。
- 外部投稿ツールを用いての記事の編集・新規作成等。
<お願いしたい処置>
- 脆弱性の影響を受ける可能性のある以下バージョンをお使いの場合、直ちに最新版へバージョンアップいただくようお願いいたします。
- Movable Type 7 r.5003 より前のバージョン
- Movable Type Advanced 7 r.5003 より前のバージョン
- Movable Type 6.8.3 より前のバージョン
- Movable Type Advanced 6.8.3 より前のバージョン
- Movable Type Premium 1.47 より前のバージョン
- Movable Type Premium Advanced 1.47 より前のバージョン
- 「mt-xmlrpc.cgi」というファイルについて、外部から実行できないよう権限の見直しをお願いいたします。
- webサイトの領域にお客様が作成した覚えのないファイル(phpファイル)やフォルダが作成されていないか、今一度ご確認をお願いいたします。