広報ブログ
シックス・アパートの広報より、社内のさまざまなトピックをお届けします。
Movable Type Data API の安全性についての情報を公開しています
この数日、全国で多数のウェブサイトで改ざんの被害が発生しています。WordPress の REST API 処理に起因する脆弱性が悪用されたもので、IPAからは、対策済みのバージョンへのアップデートを大至急実施してくださいとの注意喚起がなされています。
オープンソース・ソフトウェアである WordPress の REST API に深刻な脆弱性が発見されたことから、Movable Type Data API についても心配のお声をいただきました。これを受けて、シックス・アパートからも Movable Type Data API の安全性についての情報を発信しています。
本記事では、本件に関連するシックス・アパートからのニュースやセキュリティ技術情報をまとめてご紹介します。
Movable Type Data API の安全性について
今回の WordPress の脆弱性が REST API に存在したことから、Movable Type(バージョン6.0以降)で搭載している Data API についても不安を感じられているお客様がいらっしゃるかもしれません。
Movable Type の Data API もREST形式のAPIで、これを利用して、公開されていない記事を取得したり、更新や削除を行うことが可能です。しかし、これらのエンドポイントへのリクエストでは、まずはじめに認証情報のチェックが行われます。そして、適切な認証情報が付与されていないリクエストはすべてこの段階で拒否されます。
また、ユーザー権限によるデータへのアクセスチェックについても管理画面と同様の仕組みで(管理画面でのアクセスと同様に)行われており、安全にご利用いただけますので、ご安心ください。
Movable Type Data API のセキュリティについての技術仕様
セキュリティに留意して Movable Type Data API は実装されていますが、実際のセキュリティチェックはどのように働いているのでしょうか
攻撃ツールに狙われにくくする、サイト改ざん対策について
CMSで運用するウェブサイトを安全に保つための対策について、IBM 東京セキュリティー・オペレーション・センターさんにインタビューした過去記事をアップデートしています。攻撃ツールから狙われにくくする方法や、CMSのバージョンアップの重要性について教えていただきました。
セキュリティ対策ガイドを公開しています
Movable Type は、インターネット上で利用されるソフトウェアです。もちろん、ベンダーの責任として細心の注意を払って設計し提供していますが、必然的にセキュリティ問題とは無縁ではいられません。では、どうすればいいのでしょうか。Movable Type それ自体でできることだけでなく、ソフトウェア以外の部分でもできることがありますので、具体的に説明します。
シックス・アパートは今後も迅速な脆弱性対応や、ユーザーの皆さまへのアップデートの呼びかけに力を入れていきます。また、自社で脆弱性対策を行う必要がないマネージド・CMSサービス「Movable Type クラウド版」や、サービス型CMS「MovableType.net」への移行もお勧めしています。
