Contents of this Press Release

報道機関各位
プレスリリース

2015年2月20日
有限会社アクト・ブレイン
渡邉隆弘

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

Drupalセキュリティアップデート緊急対応のご案内

- 脅威に備える -
http://www.act-brain.co.jp/guidance-of-update

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

有限会社アクト・ブレイン(所在地:東京都北区 渡邉隆弘)は、2014年2月20日:「Drupalセキュリティアップデート緊急対応」を開始しました。

□ インターネットにおけるセキュリティの脅威

セキュリティ対策を行ったからといって安心できない。

対策・対応如何で企業の存続を脅かす程の問題となってしまうような時代に突入しています。

システム的に見てゆきますと、昨年(2014年)は、何かとSSLの脆弱性が話題になる年でした。

  • OpenSSLの脆弱性「Heartbleed」
  • SSLに存在する脆弱性「POODLE」

など。

SSLという安心感を根底から覆すショッキングな事件でした。

□ drupalにおいても、2014年10月、「Drupalの脆弱性に関する注意喚起」が告知

即座にセキュリティパッチが公開されました。
その他、様々なサイトでDrupal7の脆弱性についての記事が投稿されました。

しかし、脆弱性を知ったハッカーからのDrupalサイト攻撃が始まり、過去にない被害が出ております。

drupalといえば、米ホワイトハウスが採用しているOpen Sourceです。

米ホワイトハウスといえば、連日 あらゆるサイバー攻撃を受けています。
にもかかわらず、未だ侵入されたとのニュースはありません。

drupalのセキュリティに関する安心感は他を寄せ付けません。

しかし、先のSSLの脅威、およびdrupal自身の脆弱性の発覚が、その安心感を揺るがしてしまいました。

□ drupalを使えば安心なのではなく、正しく運用するから危険から回避できる

運営するサイトを守るのは、Open Sourceコミュニティや、コア/モジュール開発者ではなく、いかに正しい運用を行うことにかかっているか。

ホワイトハウスの強固さを見れば明らかです。

□ 対応は完了していますか?

今回のDrupalの脆弱性に関しては、ユーザー認証関連であるため、セキュリティホールを塞いで一件落着ではなく、対策前に侵入されている場合、対策が不完全である場合、侵入され続けてしまう。という最悪のものです。

侵入者が他者侵入を防ぐため、侵入者自身でセキュリティホールを塞いでしまう。という訳のわからない状況にあったサイトもあるということです。

つまり、セキュリティホールを塞いでも、既存の侵入者は、その後も侵入できてしまうという性質です。

改ざんの方法も多岐に渡り、ファイルばかりではなくデータベースにもおよび、データベースは当然ですが、ファイルに関してもタイムスタンプを古くしたり等、暴れ放題です。

何サイトか、改修をさせていただきましたが、脆弱性発表以前バックアップを持たないサイトに関しては、”ほぼ”ゼロからサイトを構築し直さざるえませんでした。

未対策のまま侵入されてしまうと、本来の業務以前に対応に追われる状況が続いております。

□ その後も、拡張モジュールも含め、セキュリティアップデートのリリースが続きました

直近では、2015年2月11日、複数のセキュリティアップデートを含むViewsモジュール 7.x-3.10がリリースされました。

DrupalといえばViewsというほど、Drupalサイト構築には欠かせないモジュールであり、DrupalをインストールしてViewsをインストールしない。
というようなことはありえない。という程のモジュールです。

Viewsモジュールは、Drupal8ではコアに入ります。
Drupalで構築されたサイトのうち99%にViewsがインストールされているでしょう。
ほぼ全てのDrupalユーザーが対象です。

速やかな対応が必要になっています。

□ いまさら「セキュリティアップデートをしましょう」とは?

本来、セキュリティアップデートといえば、言われるまでもなく常に行っていなければならないのですが、なぜいまさら、声高に言わなければならないのでしょう?

drupalはコアもコミュニティ配布の(活発な)拡張モジュールも、常に最新のセキュリティアップデートを行い、迅速にリリースされています。
だから”drupalは強固”となるのですが、残念ながら、運用側では、それを、即アップデートとは行けないのが現状です。

アップデート後、カスタマイズの手法や潜在バグによる不具合が発生するおそれがあり、作業コストがかかるので、運用開始後のアップデートはおざなりになっているサイトが多いのが現状です。

一昨年までは、それでも、特に標的とみなされないサイトにおいては、大騒ぎをする事はありませんでした。

しかし、特に、昨年来、スパムメールのごとく、サイバー攻撃が盛んになっています。

弊社が、復旧をお手伝いしたサイトの中にも、PPVが1000/日もいかないサイトもありました。

いまや、攻撃するサイトが目標ではなく、踏み台用に攻撃/侵入される事例が出てきています。

■ ”drupalは強固”は、運用開始で決まるのではなく、運用開始後のメンテナンスにかかっている

という自覚が必要になっています。

早急に対処する必要があります

drupalのアップデートは、常日頃、サーバー管理 & SSHを ご利用の方であれば、難なく対策可能です。

■ 早急にアップデートしましょう

まだモジュールアップデートした経験がない方は、アップデートの方法として7.32より古いDrupal7を救うにはが参考になるでしょう。

※ まだ7.32より古いDrupalを使っている場合は、いますぐ7.32より古いDrupal7を救うにはを実行してください。

質問形式で、状況に応じ、ガイダンスされますので、試してみてください。

■ 何らかの事情で、ご自分で対応できないという場合は、弊社にて代行可能です

オンラインサポート会員(PORTAL-3ヶ月)にて対応いたします。

弊社のサポート会員(PORTAL - 3ヶ月)以上のプランは、月極になっており、その間のセキュリティアップデートが保証されます。

契約期間内にリリースされた全てのセキュリティアップデートを実行します。

会員様は契約するだけで気にしなくとも、弊社の方で必要な措置、および報告を行います。

■ 弊社はdrupal専門の開発会社であり、保守・運用を本業としております

日々、開発に従事しているため、あらたなセキュリティアップデートのリリースの検知、実証が早い段階で可能です。

セキュリティアップデートだからといってバグが無いわけではありません。固有のサイトで問題が発生することもあります。セキュリティアップデートの手法もそうですが、その後の経過からも目をそらせないため、一回限りの措置ではなく、月極の会員制とさせて頂いています。

弊社のサポート会員制度(PORTAL)は

  • セキュリティアップデートの完全保証
  • サポートサイトによる個別サポート
    ▷ FAQ
    ▷ 操作ガイダンス
    ▷ 拡張モジュール導入サポート
  • データバックアップ
  • 返金保証(※1)

 ※1)サポート期限を終了し、満足頂けなかった場合は全額返金します。

 

下記ボタンよりお申込みください。(ユーザー登録/ログインすると申し込み用のボタンが表示されます)

 

 

Drupalとは

  • Drupalは「総合部門(Ovarall Open Source CMS Award)」で2年連続1位を受賞。米ホワイトハウスのHPで採用されるなど、その高機能さは海外はもとより、近年では日本でも急速に知名度を増してきています。
    > Drupalオリジナルシステム購入ページ

 

【本件の連絡先】

有限会社アクト・ブレイン
システム部所属 広報担当者氏名 渡邉隆弘
 Tel 03-3909-5681
 mail watanabe@act-brain.co.jp
 url  http://www.act-brain.co.jp/
 〒115-0055 東京都北区赤羽西1-5-1 アピレ赤羽アボード1ビル 11F

お問い合わせカテゴリ: 
見積りカテゴリ: 
このエントリーをはてなブックマークに追加
Facebook icon
Twitter icon
Google icon