サービス関連情報 【注意喚起】Movable TypeのXMLRPC APIにおける脆弱性に関する対策のお願い【11/26 更新】

2021年1125

お客様各位

ドメイン/Webサービスをご利用いただきまして、誠にありがとうございます。

2021年10月20日より、シックス・アパート株式会社が提供する「Movable Type」の特定のバージョンにて脆弱性を利用した攻撃が報告されております。

本脆弱性を利用した攻撃を受けてしまうと、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。

攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、シックス・アパート株式会社が提供する情報をもとに、アップデートを実行してください。

対象の「Movable Type」バージョンをご利用のお客様におかれましては、お手数をおかけしますが最新版のMovable Typeへのアップデートを行っていただきますようお願いいたします。

本脆弱性に関する情報は、下記をご参考にしてください。

    ■影響を受ける対象バージョン

  • Movable Type4.0以降のバージョン
  • ※(詳細なバージョンはシックス・アパート株式会社のホームページを確認してください)

■シックス・アパート株式会社

■一般社団法人JPCERTコーディネーションセンター

【2021年11月26日追記】

当該脆弱性を利用した攻撃が多数確認されているため、MovableTypeをご利用のすべてお客様を対象に、11月26日午後よりお客様Webサーバ上にありますmt-xmlrpc.cgiの権限を削除するための属性(パーミッション)変更を順次実施いたします。

  • 上記は、脆弱性の影響を軽減する対応としてシックス・アパート株式会社のアナウンス(https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html#noupdate新しいタブで開きます)にあります「CGI/FCGI として利用している場合には mt-xmlrpc.cgi を削除する、もしくは実行できないようにする」に該当する対応となります。
    mt-xmlrpc.cgi自体の削除は行いませんので、当該CGIをご利用お客様は再度権限を付与(パーミッションを変更)いただくことで改めてご利用可能となりますが、バージョンアップをはじめとする脆弱性の対応を必ず実施ください。