風見鶏の目

風の吹くまま、気の向くまま

やられた! Movable Type脆弱性攻撃

2021年12月5日 , 2021年12月8日追記

12月3日、サーバー管理会社よりこんなメールが届いた。

早速ですが、お使いのアカウント内で規約違反行為が行われております。
https://(略).php
等より、送信者を詐称したSPAMメールが大量に発信されております。
アカウントが乗っ取られた、もしくは、踏み台にされている可能性がございます。
緊急処置としまして、サーバーアカウントを凍結させていただきました。
(後略)

いったい「何のことだろう」と思い、FTPでサーバーへ接続してみると、身に憶えのないPHPファイルが至る所に置かれていたのである。

これは「ヤバいこと」になった。凍結されているため、すべてのウェブは「Forbidden」と表示されてアクセスできないものの、FTPは使えたので public_html フォルダ以下のファイルを全て削除。そしてサーバーのアカウントのパスワード変更も行った。

ウェブサイトを設置して20年以上になるが、こんなことは初めてである。しかし、なぜ、こんなことになってしまったのだろう。

その時点では原因はわからなかったため、まず、FTPで接続していたパソコンのウイルススキャン。平行してクレジットカードの最新の明細確認など、重要な個人情報を取り扱うサービスについても確認をするも、幸い、これらは無事だった。

そうこうしている中で、ブログ用のシステム「Movable Type」に深刻な脆弱性との情報を見つけた。

具体的にはMovable Type 7 r.5002 以前のバージョンに脆弱性が見つかり、悪意がある者が、そこを突いてサーバーへ侵入。不特定多数にspamメールを送りつけるプログラムを置き、実行するというもの。

ちなみにサーバーに保存されている生ログを見たところ、この日だけで「hosted-by.rootlayer.net」というホストから件のPHPファイルに1,437回のアクセスが記録されていた(アクセス遮断後も含む)。

対策については【重要】WEBサイト構築ソフト「Movable Type」における緊急性の高い脆弱性について (公益財団法人石川県産業創出支援機構)が、わかりやすい。

つまり、私のようにMovable Typeを設置しておきながら、しばらくブログも書かなかったような者が、標的にされている。最近なんて2年に1回ぐらいしかMovable Typeを使わない私なんて、悪意ある者から見ればカモ同然なのである。

今後もウェブの更新をすることも(暇もネタも)ないので、アカウント再開後は、Movable Typeを使うことはないだろう。この記事もメモ帳でコツコツと更新している。

もし、自前でMovable Typeを設置しておきながら、放置している人は今のうちに対策をすることを強くおすすめする。

※シックスアパート社のアナウンス
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)【2021/12/1 追記】

[2021年12月8日追記]
サーバー凍結解除後も、件のphpファイルにアクセスが続いています。もちろん、もう、そのファイルはないので意味のないアクセスなのですが、アタックしてくるホストが「r-54-61-62-5.ff.avast.com」に変わりました。

avast.comって、フリーアンチウイルスソフト「Avast」が使っているドメインではないですか。チェックしに来ているにしては1日に171回のアクセスがあり、もはや攻撃しているようにしか思えない件数です。

このエントリーをはてなブックマークに追加