2014 年 7 月 16 日シックス・アパート株式会社

長内　毅志

Movable Type の安全性について

アジェンダ

•Web 改ざんの実際

•攻撃の実際

•Movable Type の特徴と安全性

•安全性を高めるために

•Movable Type のご紹介

Web 改ざんの実際

データ出典： JPCERT/CC インシデント報告対応レポートグラフ： http://www.nca.gr.jp/2013/web201303/

ガンブラー

http://www.ipa.go.jp/security/txt/2013/07outline.html

最近の改ざん手法

http://www.ipa.go.jp/security/txt/2013/07outline.html

http://cybermap.kaspersky.com/

•CMS の管理権限を奪取してウェブサイ

トを改ざん

•CMS の公開ディレクトリに任意のファ

イルをアップロードしてウェブサイト

を改ざん

CMS に関するハッキングの傾向

•20% は CMS のコア部分にある脆弱性

への攻撃、 80% はプラグインなど周

辺プログラムの脆弱性を狙った攻撃

BSI 「 Content Management Syttem 」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia 　 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

ここまでのまとめ

•最近のウェブ改ざんは、ウェブサー

バーや CMS の脆弱性を狙って攻撃す

るケースが多い

どのような攻撃が存在するか

もっとも多いパターン

•使用されている CMS を識別して攻撃

http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

ブルートフォースアタック ( 総当り攻撃 )

イラスト：「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html

ファイルアップロード攻撃 ( バックドア )

イラスト：「 2014 年版 情報セキュリティ 10 大脅威」より

http://www.ipa.go.jp/security/vuln/10threats2014.html

その他

•SQL インジェクション

•CSRF

•XSS

–主にソフトウェアの脆弱性を付くもの

ここまでのまとめ

•CMS が特定できると、攻撃しやすい

•総当たり攻撃やファイルアップロード

攻撃など、攻撃者は CMS とプラグイ

ンの脆弱性を狙って攻撃をおこなう

Movable Type の特徴と安全性

CMS サーバーと公開サーバーの分離

ロックアウト

アップロードファイルの制限設定

•AssetFileExtensions

–アップロードできるファイルの種類を制限

•DeniedAssetFileExtensions

–アップロードできないファイルを設定

ジェネレーター情報の消去

• https://www.ipa.go.jp/security/topics/alert20130913.html

•http://jvndb.jvn.jp/

ここまでのまとめ

•Movable Type は安全性を高めるため

の設定・機能が揃っている

Movable Type の安全性を

さらに高めるために

最新版を使う

•最新版を使う

管理画面に Basic 認証をかける

•管理画面に Basic 認証をかける

CGI スクリプトの名称を変える

•CGI スクリプトの名称を変える

–AdminScript

•管理プログラムの CGI スクリプト名を設定します

–UpgradeScript

•アップグレードスクリプトを設定します

使わない CGI スクリプトの権限を変える

•使わない CGI スクリプトの権限を変え

る

–MT のコメント機能を利用していない

•mt-comments.cgi の実行権限を無くす

–トラックバック機能を利用していない

•mt-tb.cgi の実行権限を無くす

例

–Data API 機能を利用していない

•mt-data-api.cgi の実行権限を無くす

–ログフィード機能を利用していない

•mt-feed.cgi の実行権限を無くす

–公開サイトで MT の検索機能を利用していな

い

•mt-search.cgi, mt-ftsearch.cgi の実行権限を無く

す

パスワードの強度を上げる

•パスワードの強度を上げる

ロックアウト設定をする

パスワードの桁数と組み合わせの種類

文字種の数 4 桁 6 桁 8 桁

10 種( 数字のみ )

1 万 100 万 1 億

26 種( 英小文字 )

約 46 万 約 3 億 約 2 千億

62 種( 英数字 )

約 1500 万 約 570 億 約 220 兆

94 種( 英数記号 )

約 7800 万 約 6900 億 約 6100 兆

「 Web 担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6

参考

https://howsecureismypassword.net/

•Movable Type を

安全に利用するために

http://www.movabletype.jp/blog/

secure_movable_type.html

ここまでのまとめ

•常に最新版へアップデートすることが

改善防止につながる

•Movable Type の設定を調整すること

で、さらに安全性は高まる

その他

CMS の情報、バージョン情報を消す

•ジェネレータータグをすべて削除する

•RSS 、 Atom 、 RDF ファイルなども

注意

CMS サーバーの場所を特定しづらくする

•検索、コメント、トラックバックなど

を使っていない場合、 MT のアプリ

ケーション・サーバー情報は隠せる

•特定しづらい場所に配置する

公開サーバーと CMS サーバーを分ける

•MT クラウドには標準機能でサーバー

配信機能が含まれている

参考情報

IPA 「安全なウェブサイトの作り方」

• https://www.ipa.go.jp/security/vuln/websecurity.html

http://www.ipa.go.jp/security/txt/2013/07outline.html

Movable Type 最新情報

最新バージョン

Movable Type 6.0.3

5 つの新機能

•Data API

•Chart API

•非公開日指定

•Google Analytics との連携

•メッセージセンター

Data API

•JSON 形式でデータを取得•PHP 、 JavaScript など言語を問わず拡張

Data API の活用例

•COACH UNITED

Google Analytics の連携

• Google Analytics と連携してアクセスデータを

ダッシュボード上に表示

レスポンシブウェブデザインテーマ

•Rainier

–ブログ向けテーマ

•Eiger

–企業サイト向けテーマ

Apex

•追加テーマ「 Apex 」http://plugins.movabletype.jp/

movable_type/apex.html

Rainier と Eiger 、 Apex のライセンス

•MIT ライセンス (オープンソース )–自由にカスタマイズ、再頒布可能

–ビジネス利用も可能、オープンソース頒布も

パフォーマンス改善

Movable Type クラウド版

•クラウド環境で MT を提供

•サーバー保守、メンテナンスはシックス・アパートが担当

•月額 5000円～

サーバー配信機能

•外部サーバーへ html送信

•ステージング構成が簡単

バックアップ機能

•1 日に 1 度データをバックアップ

•いつでも復旧可能

MT on AWS

•AWS marketplace で提供

•T1micro は無料 (AWS 使用料別 )