この記事は日経 xTECH有料会員限定ですが、2018年5月11日5時まではどなたでもご覧いただけます。

 予想に反して、修正版の公開当初は、脆弱性を悪用する攻撃手法やウイルス(マルウエア)は出回らなかった。ところが4月中旬、脆弱性の詳細と、脆弱性の悪用が可能であることを示す実証コード(PoC:Proof of Concept)が出回り、誰でも悪用できる状況になった。

 これにより、今回の脆弱性を悪用する攻撃が急増。国内でもこの脆弱性を狙ったアクセスが観測されているとして、警察庁が4月18日に注意を呼び掛けた。

Drupalの脆弱性(CVE-2018-7600)を標的としたアクセス件数の推移
(出典:警察庁)
[画像のクリックで拡大表示]

 さらに状況を悪化させているのが、複数のサイバー攻撃者グループによるクラッキング競争だという。中国のセキュリティベンダーQihoo 360 Technologyは3月14日以降、少なくとも3つの攻撃者グループによる、Drupalを標的とした大規模なウイルス攻撃を観測している。

 彼らは競って脆弱性のあるDrupalを乗っ取っている。3グループのうち、最も活動的なグループは、脆弱性のあるDrupalを探して自動的に感染を広げるウイルスを使っているという。このウイルスはボットネットを構築し、DDoS攻撃や仮想通貨の採掘を行う。

 以上のようにDrupalを狙った攻撃が相次いでいる最中、4月25日(米国時間)にはまた新たな脆弱性(認識番号 CVE-2018-7602)が見つかった。こちらも遠隔コード実行が可能になる、とても危険な脆弱性だ。

 3月末に見つかった前述の脆弱性「CVE-2018-7600」と関連性のある脆弱性で、既に悪用が確認されている。セキュリティ組織の米SANS Insituteなどによれば、こちらの脆弱性については、公開からわずか数時間後に悪用されたという。修正版が公開されているので、管理者はすぐに対応しよう。

 利便性を高めるために、インターネット上にCMSを公開している企業・組織は多い。だがWebサーバーなどとは異なり、CMSの場合には「公開している」という意識が低く、セキュリティ対策が不十分なケースは少なくない。このため今回のように広く使われているCMSに脆弱性が見つかると、大きな被害に発展する。

 例えば、同じくメジャーなCMSである「WordPress」にも危険な脆弱性がたびたび見つかり、大規模なサイバー攻撃を受けている。

 攻撃者はCMSを狙っている。管理者はそのことを十分に肝に銘じる必要がある。