弊社では、CMSを使ったサイト構築ではプラットフォームとして、
Movable Type（以下、MT）を主に利用しています。

CMSとしてメジャーなWordpressではなく、世間的にはマイナーな
MTを使う利用は、ソフトウェアの性質上、セキュリティリスクが
低いMTの方が、企業サイトの利用には適していると考えている
からです。

セキュリティ面を考慮してお客様からMTを指名されることも
ありますが、そんなMTでも100％安全ではないことが言える
出来事が最近ありました。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html

リンク先の記事は技術的な記述になりますが、
かいつまんで説明すると、スマホアプリなどからMTへの投稿を
受け付ける機能を利用することで、サーバーOSへの第三者による
アクセスが可能な脆弱性が存在していた、という内容になります。

上記の機能を利用していない場合は、同機能を無効にしておけば
今回に被害にはあることはありませんでしたが、そのままになって
いたサイトでは少なくない確率で被害にあっていたようです。

ちなみに私は臆病なので、CMSに限らずプログラムの類いは使って
いない機能は、一切がっさいOFFにする習慣が身についています。

なので、今回の被害からは逃れることが出来ました。
自分で自分を褒めてあげたいと思います。

さて、今回発覚した脆弱性はMTのver4から存在していたとのこと。
調べたところ、MT4がリリースされた2007年８月なので、
実に14年ぶりに発見された不具合になります。

ところ、今回のMTの不具合は、
事前のその存在と危険性についてアナウンスがあり、
そのタイミングで対策をしていれば被害に合うことは
まず無かったと思います。

弊社でも上記タイミングで一通りのチェックをしました。

危険から身を守るためには、普段の情報収集アンテナを
広げておくことも重要ですね。