Check Point Press Releases

メディア・アラート: チェック・ポイント、Wikipedia.orgなどで使用される「Wiki」に深刻な脆弱性を発見

広く利用されるオープンソースのWebプラットフォーム「MediaWiki」に脆弱性

2014年2月3日

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都新宿区、代表取締役社長 本富顕弘)は本日、「Wiki」を使用したWebサイトの構築、運営に広く利用されているオープンソースのWebプラットフォーム「MediaWiki」に深刻な脆弱性を発見したと発表しました。MediaWikiは、アクセス数世界第6位(*1)、月間9,400万人以上のユニーク・ビジター(*2)を集めるWikipedia.orgをはじめ、多くのサイトで使用されています。

チェック・ポイントの研究チームにより発見されたこの脆弱性は、リモート・コード実行(Remote Code Execution: RCE)を可能にするもので、バージョン1.8以降のMediaWikiに存在します。この脆弱性を悪用する攻撃者は、問題のあるWebサーバを完全に制御できます。脆弱性の発見後、チェック・ポイントは直ちにWikiMedia Foundationへ通知しました。問題を確認したWikiMedia Foundationは、脆弱性を修正したアップデート版を公開しています。またチェック・ポイントは、この脆弱性を利用した攻撃を防御する新しい保護機能を、チェック・ポイント製品を利用している企業に提供しています。

発見された脆弱性の概要:
  • Wikipedia.orgなどのMediaWiki使用サイトで脆弱性を放置した場合、Webサーバが攻撃者に乗っ取られる可能性があります。この結果、Webサイトにマルウェア感染コードを埋め込まれ、サイト訪問者に感染が広まるおそれがあります。
  • チェック・ポイントから脆弱性の報告を受けたWikiMedia Foundationは、ソフトウェア・アップデートを公開し、すべてのMediaWiki利用者に対して早急にパッチを適用するよう求めています。
  • 2006年以降、MediaWikiに発見されたRCEの脆弱性は今回でわずか3件目(*3)です。

チェック・ポイントの脆弱性調査チームは、世界中のインターネット・ユーザを保護するため、広く利用されているソフトウェアを対象に、定期的に脆弱性評価を実施しています。チェック・ポイントのIPS (侵入防御システム) Software Bladeには、この脆弱性に対する攻撃を検出する保護機能が自動配信されています。

チェック・ポイントの製品担当バイスプレジデントであるドリット・ドール(Dorit Dor)は、「広く利用されているプラットフォームに1つでも脆弱性があれば、攻撃者の侵入を受けて世界中に被害が広まる恐れがあります。チェック・ポイントの脆弱性調査チームは、インターネット全体を保護するべく、このように影響力が高い脆弱性の発見と迅速な問題解決に取り組んでいます。今回MediaWikiで発見された脆弱性は、Wiki使用サイトの利用者数百万人に多大な被害をもたらす可能性のある深刻なものでした。この脆弱性が修正されたことをうれしく思います」と述べています。

詳細については、http://www.checkpoint.com/threatcloud-central/index.htmlをご覧ください。

(*1) 出典: Alexa(www.alexa.com/topsites)
(*2) 出典: Compete.com(http://siteanalytics.compete.com/wikipedia.org)
(*3) 出典: CVE Details(http://www.cvedetails.com/product/4125/Mediawiki-Mediawiki.html)

チェック・ポイントの最新情報:
Twitter: www.twitter.com/checkpointjapan
Facebook: https://www.facebook.com/checkpointsoftware
YouTube: http://www.youtube.com/user/CPGlobal

Check Point Software Technologies Ltd.について

チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。