「第三者による不正アクセスの危険性」への対策

5月12日に、Movable Typeに「第三者による不正アクセスの危険性」の脆弱性があるということが発表されました。

元記事はこちら

上記のエントリーには、脆弱性への対策方法も書かれています。ただ、対策法の内容がいまいち分かりにくいのではないかと思います。

今回の脆弱性は、以下のようなものです。

盗聴等によって、Movable Typeのシステム(mt.cgi)へログインする際のIDやパスワードが知られてしまう可能性がある。


また、この脆弱性を助長する問題点として、以下のことがあります。

1.mt.cgiは、トラックバックを処理するCGI(mt-tb.cgi)や、コメントを処理するCGI(mt-comments.cgi)と同じディレクトリにある。

2.mt-tb.cgiやmt-comment.cgiの場所は、Blogを開いてHTMLのソースを見れば分かるので、そこからmt.cgiの場所が推測できる。


そこで、対策として「AdminCGIPath」を使う方法が挙げられています。
これは、以下のような作業をすることを指しています。

1.mt.cgiをmt-tb.cgi等とは別のディレクトリに移動して、mt.cgiを見つけにくくする
2.mt.cgiの移動先のディレクトリを、AdminCGIPathに指定する

これによって、仮にパスワード等が漏れたとしても、mt.cgiを見つけにくいので、ログインされにくくなるという仕組みです。
ただ、この「mt.cgiをmt-tb.cgi等とは別のディレクトリに移動する」ということが書かれていないので、対策法が分かりにくくなっています。

なお、mt.cgiを移動する手順については、小粋空間さんのこちらのエントリーに解説されていますので、そちらを参照ください。
最小限の作業で済ませる方法が解説されています。
ただし、ダイナミックパブリッシングを使っている場合は、上記エントリーの手順に加えて、「php」のディレクトリも移動することが必要になります。

なお、移動先のディレクトリにはなるべく分かりにくい名前をつけて、そのディレクトリが見つかりにくくしておくことをお勧めします。

また、可能な方は、mt.cgiを他のディレクトリに移動するだけでなく、.htaccessを使ってそのディレクトリにパスワードを設定するなど、二重三重の対策をしておくとより良いでしょう。

MT Cloud Starter Kit
Movable Typeのプラグイン集「MT Cloud Starter Kit」をぜひご利用ください