オープンソースのコンテンツ管理システム(CMS)「Drupal」に極めて深刻な脆弱(ぜいじゃく)性が見つかった問題で、Drupalは10月29日、脆弱性修正のパッチを直後に適用しなかったWebサイトは侵入された可能性があると警告した。米セキュリティ機関のUS-CERTも、アップデートや回避策の適用を呼びかけている。
問題のSQLインジェクションの脆弱性は、Drupalのバージョン7.xに存在する。悪用された場合、攻撃者にバックドアを仕掛けられ、サイトの全データをコピーされる恐れがある。攻撃の痕跡は残らない。この脆弱性を修正した「Drupal 7.32」は10月15日にリリースされた。
Drupalによると、この10月15日の発表の直後から、脆弱性を修正していないWebサイトに対する攻撃が始まった。「すべてのDrupal 7サイトは、世界協定時間の10月15日午後11時(日本時間16日午前8時)までにアップデートまたはパッチを適用していない限り、破られたと想定して対処しなければならない」とDrupalは警告する。
ただし、バージョン7.32に更新して脆弱性を修正したとしても、すでに侵入されたWebサイトからバックドアが削除されるわけではないという。バックドアはデータベースやコード、ファイルディレクトリなどさまざまな場所に仕掛けられた可能性がある。発見は極めて難しく、全てのバックドアを発見したかどうかを確認することは不可能とされる。
Drupalはさらに「自分でパッチを適用したわけではないのに、自分のサイトにすでにパッチが適用されているのを発見した場合、そのサイトは侵入されているかもしれない。一部の攻撃者は自分たちだけがそのサイトを制御できることを保証する手段としてパッチを適用している」とも警告した。
対策としては、ホスティングプロバイダに連絡を取るよう勧告。パッチを公開直後に適用していなかった場合は、10月15日より前のバックアップを使ってサイトを復元するよう呼びかけている。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.