脆弱性

Drupalの脆弱性を狙った攻撃に注意!今すぐできる対策とは?

2018.04.19

脆弱性

Drupal's-vulnerability Drupal公式サイトより抜粋

手軽にWebサイトを更新することができるオープンソースのCMS(コンテンツ管理システム Content Management System)である「Drupal」ですが、このCMSが深刻な脆弱性を持っていることが明らかになりました。
脆弱性を悪用する概念実証コードが公開されてから攻撃が急増しています。
今回は、Drupal脆弱性について解説するとともに、対処の方法についてご紹介します。

目次

Drupalとは何か

Drupalとは世界中で利用されているCMS(Content Management System)です。
オープンソースのソフトウェアのため、無料で利用することができます。
Drupalの標準機能と拡張モジュールの追加によって多くの機能を実装することができます。モジュールの組み合わせによって、多種多様な機能を実現する拡張性があり、将来的に大規模なWebサイトになることが予想される場合には最適なCMSとなると言えます。
圧倒的シェアを誇るWordPressに比べると小規模なシェアではありますが、日本企業の中でもDrupalを利用しているところは数多く存在しているでしょう。

公開されたDrupalの脆弱性

2018年3月21日(水)にDrupalプロジェクトによって、脆弱性に対するセキュリティリリースの予告が発表されました。
3月28日(木)米国時間18時〜19時の間にDrupal 7.xおよび8.xの複数のサブシステム対象としたセキュリティリリースを実施するといった内容です。
このセキュリティリリースの対象となる脆弱性は、重要度がクリティカルと想定されているものでした。
この脆弱性「CVE-2018-7600(SA-CORE-2018-002)」がはリモートコードを実行できてしまうため、攻撃者の手によって情報を盗み出せてしまうというものです。

本来であれば古いバージョンのためサポート対象外である8.3.x系や8.4.x系もセキュリティリリースが実施されるという異例の事態でした。
Drupal公式サイトの発表

脆弱性を悪用した攻撃コードの公開

3月に公開された脆弱性「CVE-2018-7600(SA-CORE-2018-002)」を元に悪用可能な概念実証(PoC)コードが4月12日(木)にGithubに公開されました。
概念実証コードが公開されたことにより、安易に攻撃をすることが可能になったため4月12日の情報公開を境にDrupal脆弱性へ向けた攻撃が急激に増加しています。
警察庁の発表したデータによると、4月14日(土)からインターネット定点観測システムにおいて、アクセスを観測しています。

※警察庁発表Drupal の脆弱性(CVE-2018-7600)を標的としたアクセスの観 測について より抜粋

クラウド型WAF「攻撃遮断くん」を利用しているユーザーへ向けた、攻撃も多数検知されてることも発表されています。

こちらも警察庁と同様にコードが公開された4月13日から急激に増加し、現在も継続して攻撃を受けていることがわかります。

Drupal 脆弱性を突いた攻撃が急増 脆弱性を悪用する概念実証(PoC)コード公開翌日に約3万件もの攻撃ログを観測より抜粋
また、攻撃元のIPに着目した場合、様々な国から攻撃が行われていることが明確であり、ファイヤーウォールなどによるIPアドレスのブロックだけでは、防ぎきれないことが明確です。

セキュリティ対策ができていない、セキュリティアップデートの対応が間に合っていないといったことがある場合、情報漏えいのリスクが非常に高くなっていくことが想定されます。

セキュリティアップデートを欠かさず行う

DrupalプロジェクトはDrupalの脆弱性を修正したセキュリティパッチを脆弱性情報とともに公開しました。
今回は重要度の高い脆弱性だったこともあり、サポートが終了した古いバージョンへもセキュリティパッチが提供されています。
攻撃を受けて情報が漏えいしてからでは遅いので、早急なパッチ適用をする必要があります。
パッチ適用以前に、古いバージョンを使い続けることは通常運用にも影響が出る可能性があるため、最新のバージョンにアップデートをするべきでしょう。
運用方針によって早急な対応が難しい場合もありますが、万が一のことに備えできる限り早い対応が望まれます。

クラウド型WAFで脆弱性への攻撃を防ぐ

社内の運用リソースが足りないため、早急なアップデートの対応ができないといった場合もあるかもしれません。
けれども、攻撃者は私たちのアップデートを待ってはくれません。攻撃者はセキュリティアップデートができていないであろうWebサイトを狙って攻撃を仕掛けてきます。
そういった場合にWebサイトを守るものとしてWAFが最適と言えるでしょう。
WAFはWebアプリケーション層への攻撃を防ぐことが可能なセキュリティサービスです。今回のような脆弱性を突いた攻撃をはじめとした多くのサイバー攻撃を防ぎます。
特にクラウド型WAFはベンダー側が最新の対策を行なっているため、ユーザー側で特別な対処をする必要がありません。緊急性の高い脆弱性に向けた攻撃も、煩雑な設定や対策をすることなく防ぐことができます。
運用費用もオンプレミス型やソフトウェア型よりも安価で済むため、簡単に導入することができます。
Drupal脆弱性のような攻撃を防ぎ、安全なWebサイトを運営するためにもクラウド型WAFの導入を検討してみてはいかがでしょうか。