「Drupalの脆弱性・セキュリティって大丈夫なの?」
大切なWebサイトを運営してくうえで、このような不安をお持ちの人も多いでしょう。
脆弱性とは「セキュリティホール」とも呼ばれ、この脆弱性があると、不正アクセスなどによりWebサイトが改ざんされたりしてしまうリスクがあります。
Drupalでは2018/3/28にセキュリティリスクの最高レベルに位置づけられる「ハイクリティカル」の重大な脆弱性を発表しています。 (CVE-2018-7600)「クリティカル」は和訳すると「きわめて危険である状態」を指しています。
本記事ではWebサイトを管理するCMS (コンテンツ・マネジメント・システム)であるDrupal (ドゥルーパル)とは何かから、Drupalのセキュリティ・脆弱性に関する最新情報とその入手方法・解決・対策方法までわかりやすく解説していきます。
本記事で紹介する内容を参考に、脆弱性・セキュリティに関する基礎知識を踏まえ、Drupalで運営するWebサイトの脆弱性を対策しましょう。
Drupal (ドゥルーパル)とは
Drupalは世界中で利用されているCMS (Content Management System)です。CMSはコンテンツ・マネジメント・システムの意味で、Webサイトのコンテンツを楽に管理できるシステムを言います。
このDrupalはプログラム言語PHP (ピーエイチピー)で構成されています。オープンソースであるため無料で利用でき、拡張機能も豊富です。
Drupalに標準で搭載されている機能に加え、多種多様な拡張機能を組み込める拡張性に優れており、大規模なWebサイトに最適なCMSと言えます。
Drupal (ドゥルーパル)の脆弱性の最新公開情報
Drupalの脆弱性は2020年4月時点でどうなのかについて解説していきます。
概要
Drupal公式から最新のセキュリティリリース「Spamicide – Critical – Access bypass – SA-CONTRIB-2020-009」が2020/4/8に発表されています。
参照:Spamicide – Critical – Access bypass – SA-CONTRIB-2020-009|Drupal
Drupalの標準機能ではなく拡張機能 (モジュール)に脆弱性が見つかっています。このリリースによると、セキュリティリスクは「クリティカル」としてセキュリティリスクレベル5段階中2番目にリスクが高いものとなります。
内容としては、スパムボットからの攻撃に対するアップデートとなっています。このアップデートの適用により、Drupalフォームをスパムボットから保護できるとのことです。
解決方法
解決方法としては最新バージョンにアップデートすることが提示されています。
2020年4月現在のDrupal最新コアバージョンは2020/4/2にリリースされた「Drupal core 8.8.5」となっています。もし「Drupal core 7.x」を使用している人は、「spamcide module」 (スパムサイドモジュール)を「spamcide 7.x-1.3」にアップデートしましょう。
Drupal最新バージョン、「spamcide 7.x-1.3」は以下の参考サイトからダウンロードできます。
参考 (Drupal core8.8.5):Download & Extend|Drupal
参考 (spamicide 7.x-1.3):Download & Extend|Drupal
Drupal (ドゥルーパル)の脆弱性への対策
以降では最新の脆弱性への対応だけでなく、Drupal全体の脆弱性への対策はどのようにすればよいのかについて解説していきます。
定期的にセキュリティアップデートを行う
先ほど紹介した最新情報のように、セキュリティの抜け穴となる脆弱性が見つかると、対策を施したバージョンが配布されたり、セキュリティパッチが配布されたりします。
そのため定期的にセキュリティアップデートを行わなければ、セキュリティの抜け穴が残ってしまい、攻撃者の標的になることも考えられます。
また古いバージョンのまま使用を続けることは、通常使用にも影響が出る場合があります。大切なデータを守るためにも、必ず定期的にセキュリティアップデートを実施しましょう。
セキュリティ対策サービスを利用してみる
とは言えアップデートを毎回確認し、新しいバージョンがリリースされる度にアップデートを行うことは面倒で、すぐには行えない場合もあるでしょう。
それだけでなく、アップデートを忘れていたなどの理由で脆弱性を残したままにしてしまうリスクもあります。
しかしこれらの理由によっても、悪意のある攻撃者は待ってくれません。
このような場合もあるため、「WAF (ワフ)」などのセキュリティ対策サービスを利用しておくと良いでしょう。WAFは「Webアプリケーションファイアウォール」の略で、悪意のある攻撃からWebサイトを保護します。
具体的にはアクセス元とWebサーバー間の通信を検査し、悪意ある攻撃を検出する役割を持ちます。
WAFにはWebサーバーにインストールするものや、独立して設置するものなどありますが、おすすめはクラウド型のWAFです。
クラウド型であれば、WAFサービスの提供者が最新の対策を行ってくれます。そのためWebサイトの管理者がセキュリティアップデートなどを行わずとも、WAFで攻撃をブロックすることが可能になります。
Drupal (ドゥルーパル)の脆弱性情報の入手方法
Drupalで管理しているWebサイトのセキュリティを確保するためには、Drupalの脆弱性情報を常に入手しなければなりません。
以降ではDrupalの脆弱性情報の入手方法を解説します。
Drupal (ドゥルーパル)公式サイトから入手
Drupal公式サイトでは脆弱性に関するリリースが以下のページで随時発表されています。
しかし毎回このサイトを確認するのも、やや手間でしょう。そこでリリースがあった場合にDrupal公式サイトから「メール」で情報を入手する方法を紹介します。
1. ユーザーログイン (未登録の方は登録から)
まずはDrupalにログインします。未登録の方は登録から行います。登録はこちらのリンクをクリックします。
- 1「Username」にユーザー名を入力
- 2 「Email」にメールアドレスを入力
- 3 「Confirm email」にもう一度メールアドレスを入力
- 4 「Password」にパスワードを入力
- 5 「Confirm password」にもう一度パスワードを入力
- 6 「I have read and accept…」のチェックボックスをクリック
- 7 「I’m not a robot」のチェックボックスをクリック
- 8 「Create new account」をクリック
登録が終わったら、こちらのリンクからログインページへアクセスします。
ユーザー名とパスワードを入力し、ログインしてください。
2. My Account 画面へ
「My account」をクリックします。
3. Editタブを選択
「Editタブ」を選択しましょう。
4. My Newsletters タブを選択
画面上部の「My newsletters」をクリックします。
5. Security announcements にチェック
「Security announcements」のチェックボックスをクリックしましょう。
6. 「Save」をクリック
「Save」をクリックします。
これでセキュリティアナウンスがDrupal公式サイトから指定したメールアドレスに配信されます。配信内容を確認し、逐次セキュリティアップデートを行いましょう。
Drupal (ドゥルーパル)の脆弱性まとめ
Drupalに関する脆弱性・セキュリティに関することを解説してきました。WebサイトをCMSで運営していくにあたっては、なにより最新バージョンへのアップデートが重要です。
本記事で解説した内容を参考に、Drupalでの脆弱性について最新の情報を仕入れ、都度対策を行っていただければと思います