先日、オープンソース・ソフトウェアである WordPress 4.7 / 4.7.1 の REST API に、認証を回避してコンテンツを書き換えられる脆弱性があったと発表されました。極めて容易に攻撃でき、コンテンツの改ざんを行うことができる深刻な脆弱性のため、最新版へのアップデートが強く呼びかけられています。また実際に、全国で多数のウェブサイトが改ざんの被害にあっています。

WordPress の脆弱性については下記をご参照ください。

• Content Injection Vulnerability in WordPress | Sucuri Blog
• WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構
• サイト改ざん相次ぐ　病院や大学、五輪相も被害 | 日本経済新聞

Movable Type Data API の安全性について

今回の WordPress の脆弱性が REST API に存在したことから、Movable Type（バージョン6.0以降）で搭載している Data API についても不安を感じられているお客様がいらっしゃるかもしれません。

Movable Type の Data API もREST形式のAPIで、これを利用して、公開されていない記事を取得したり、更新や削除を行うことが可能です。しかし、これらのエンドポイントへのリクエストでは、まずはじめに認証情報のチェックが行われます。そして、適切な認証情報が付与されていないリクエストはすべてこの段階で拒否されます。

また、ユーザー権限によるデータへのアクセスチェックについても管理画面と同様の仕組みで（管理画面でのアクセスと同様に）行われており、安全にご利用いただけますので、ご安心ください。

本件に関する技術仕様につきましては、MovableType.jp の下記記事をご参照ください。

• 詳説 Data API Vol.7: Movable Type Data API のセキュリティの話｜MovableType.jp

CMSのセキュリティ対策について

インターネット上で利用されるソフトウェアは、必然的にセキュリティ問題と無縁ではいられません。シックス・アパートでは、Movable Type ならびに Movable Type Data API を安全に利用するためのセキュリティガイドを公開しています。こちらをぜひご一読ください。

• Movable Type セキュリティ対策ガイド｜MovableType.jp

マネージドサービス型のクラウドCMS、ウェブサービスCMSをおすすめします

ウェブサイト改ざんの攻撃の足掛りとしてCMSが狙われるケースは非常に多く、シックス・アパートでも迅速な脆弱性対応や、ユーザーの皆さまへのアップデートの呼びかけに力を入れています。合わせて、自社で脆弱性対策を行う必要がないマネージドサービス型のクラウドCMS「Movable Type クラウド版」や、ウェブサービスCMS「MovableType.net」の利用もおすすめしています。

• クラウドCMS Movable Type クラウド版
• ウェブサービスCMS MovableType.net