JPCERT コーディネーションセンター （JPCERT/CC） より、長い間バージョンアップされずに利用されている古いバージョンの Movable Type を対象にした攻撃による Web サイトの改ざん被害などについて注意喚起が出されています。

JPCERT/CC では、古いバージョンの Movable Type を使用している Web サイトが改ざんされるインシデントの報告を多数受領しています。

受領した報告では、Movable Type の既知の脆弱性を使用した攻撃により、不正なファイルが Web サイトに設置されたり、Web サイトの既存のコンテンツ内に、攻撃サイトへと誘導する iframe や難読化された JavaScript が埋め込まれたりする事例を確認しています。

今回の古いバージョンの Movable Type を使用している Web サイトの改ざん事例の全てが、脆弱性に起因するものであるとは確認できていませんが、脆弱性を内在した状態で運用を行っている場合、攻撃者によって脆弱性を突かれ、Web 改ざんなどの被害を受ける可能性があります。未然防止の観点から、Movable Type だけでなく、OS やその他のソフトウエアも含め、最新の状態にアップデートすることをお勧めします。

また、開発元のシックス・アパート社は Movable Type を安全に利用するためのアドバイザリを公開しています。

• Movable Type を安全に利用するためにできること ： MovableType.jp

詳しくは下記のリンク先記事をご覧ください。

元記事： 旧バージョンの Movable Type の利用に関する注意喚起 ： JPCERT/CC