Drupalのセキュリティ・脆弱性について

CMSを利用する場合、セキュリティや脆弱性は気になるポイントだと思います。
今回はDrupalのセキュリティや脆弱性について紹介します。

まず結論からですが「基本的にはきちんと最新バージョンにアップデートをすれば問題ない」のですが、実際にどのようなセキュリティ対策がされているのかは、完璧に理解できなくてもなんとなく知っておくだけで安心できます。

長期的にDrupalを利用していく上での安心材料としてぜひご覧ください。
 

オープンソースCMSはセキュリティに弱い？

まず、CMSは「オープンソースCMS」と「商用パッケージCMS」に大きく分類され、DrupalはオープンソースCMSに分類されます（最近は「クラウドCMS」と呼ばれるものもありますが、今回は割愛します）。

「オープンソースCMS」はプログラムのソースコードが一般に公開されており、商用・非商用問わず誰でも無料で利用や修正ができます。
それに対して「商用パッケージCMS」は有料でライセンスを購入して利用します。

また、オープンソースCMSは「セキュリティが弱い」と言われることがあります。
その理由としてあげられるのが「ソースコードが一般に公開されていること」と「普及率の高さ」です。

悪意のあるユーザーが脆弱性を発見しやすい

オープンソースCMSは、ソースコードが一般に公開されています。
そのため、悪意のあるユーザーが中身を分析して脆弱性を発見してしまう可能性が高くなります。

また、モジュールやプラグインといった拡張機能を使ってCMSを便利にできますが、そこで脆弱性を抱えていて攻撃に利用される場合もあります。

オープンソースのCMSは普及率が高い

現在、オープンソースのCMSとして最も有名なWordPressは、全世界のWebサイトのうち約43%を占めています（2022年4月現在）。
ここにDrupalやJoomla!といった他のオープンソースCMSを合わせるとシェアは約50%を超えます。
ちなみに約33%がCMS未使用のサイトで、残りが商用パッケージCMSやクラウドCMSです。
 

参考：Usage Statistics and Market Share of Content Management Systems, April 2022

 

2サイトあればどちらか片方はオープンソースCMSを利用しているため、必然的に「攻撃されたサイトはオープンソースCMS」となる確率も高くなってしまいます。

また、狙うターゲットが多いので、その分新たな脆弱性や攻撃手法の開発もされやすくなります。
マイナーなCMSの攻撃手法を考えるより、普及しているCMSの攻撃手法を考えた方がメリットが大きいですし、ターゲットも多いからです。
 

実際に攻撃されるとどうなるのか？

実際に攻撃されると、具体的にはどのような被害が発生するのでしょうか。
一例ですが、下記のような事象が発生する可能性があります。

1. ウェブサイト上のデザインやコンテンツが改ざんされる
2. お問い合わせフォームなどの改ざんによって、ユーザーが入力した個人情報が外部へ送信されてしまう
3. ランサムウェアを埋め込まれ、ユーザーがアクセスすると感染し、ファイルが暗号化されてしまう
4. 詐欺サイトなどへリダイレクトするようにされてしまう
    

どれも企業ブランドの低下につながりますが、特にランサムウェアや詐欺サイトへのリダイレクトによって実害が出た場合は賠償責任になる可能性も出てきたり、情報漏洩などは企業への信用を大きく低下させてしまいます。

これだけ聞くと怖くなってしまいますが、被害を見て恐れるだけでなく、そうならないために「正しい運用」と「最新バージョンを保つ」ことが大切です。
 

セキュリティの基本

まずは運用方法の見直し

そもそもウェブサイトのセキュリティは、CMSの特性も大切ですが「どのように利用・運用するか」も同等かそれ以上に大切です。

金庫に大切なものをしまうとき、「普通の鍵とダイアル式だったらどちらがセキュリティが高いんだろう？」と調べて選んだとします。
ただ、せっかく選んでもその後の管理が適当では意味がありません。

鍵を適当な場所に置いておいたり、ダイアルナンバーをメモして貼っていたり、鍵をかけずに開けっぱなしにしていると、簡単に盗めてしまいます。

CMSもそれと同じで、しっかりした利用方針と適切な運用が必要です。
まずは下記のような基本的なことを見直しましょう。

• パスワードが単純で短いものや、推測できるものになっていないか
• 権限は適切なものが設定されているか

最新バージョンのDrupalにアップデートする

Drupalは最新のバージョンを使用するようにしましょう。
古いバージョンを使っているとセキュリティ面だけでなく、運用する上でもさまざまな影響が出てしまいます。

また、Drupal 7は2023年11月1日がサポート終了日となっています。
それ以降はサポートもされないため、使い続けるのは非常に危険です。
 

Drupalはセキュリティに強い？

Drupalは各国の機密データを扱う団体や大企業でも利用が多く、その理由として「セキュリティの高さ」が評価されています。

• NASA：https://www.nasa.gov/
• UNESCO：http://uis.unesco.org/en
• TESLA：https://www.tesla.com/

「NASAも利用しているセキュリティレベル」と考えるとかなり安心ではないでしょうか。
とはいえ、先ほども紹介した通り「適切な運用」がされていないと意味がありません。

ちなみに、「ホワイトハウスのサイトでもDrupalが使われている」と事例でよく挙げられていましたが、2018年のリニューアルでWordPressへと移行されています。
なぜ移行したのかは公式な発表がありませんが、ネット上でよく「ホワイトハウスのサイトはDrupal」と見かけるので、現在は違うと知っておいた方が良いでしょう。
 

OWASPに準拠した設計がされている

OWASPとは「オープンWebアプリケーションセキュリティプロジェクト」の略で、ソフトウェアのセキュリティを規格化して、その改善に注力している非営利団体で「オワスプ」と読みます。

 DrupalはそのOWASPの基準を満たすように設計されていて、将来発生する可能性のあるリスクを防ぐために、積極的に分析されています。
現時点でのセキュリティだけでなく、未来のリスクについても分析が進められているということです。

 

専門のセキュリティチームがある

Drupalには専門のセキュリティチームがあり、セキュリティ専門家40名が改善のために働いています。

Drupal本体の脆弱性を探していて、特定された脆弱性に関してはすぐにセキュリティパッチの作成と、セキュリティ勧告の文書をウェブサイト上で公開しています。
また、Drupal本体だけでなくモジュールに関してもセキュリティ的に問題がないか監視するサポート体制が整っています。

CMSとして有名なWordPressでは拡張するための機能を「プラグイン」と呼ぶのですが、このプラグインはあくまで「制作者が作成したもの」という扱いになっています。
そのため、悪意あるプラグインや脆弱性のあるプラグインをインストールしてしまい、攻撃される可能性もあります。

 

パスワードやデータベースの暗号化

Drupalのインストール後、パスワードは暗号化されてデータベースに保存されます。
このとき、パスワードには「ソルト（Salt）」と呼ばれる文字列を追加した上で暗号化します。

非常に専門的で難しい内容になってしまうのですが、このソルトを付けておくことで、暗号化した後の文字列から、元のパスワードを解読するのが事実上不可能になります。

また、データベースも暗号化されます。
データベースの暗号化は「特定の部分のみ暗号化する」と「サイト全体のデータベースを暗号化する」のどちらにするか設定もできます。

こうした暗号化によって、万が一のパスワードやデータベースの流出でも中の情報は解読できないようになっています。
 

まとめ

「セキュリティ」や「脆弱性」という言葉を聞くと、具体的な中身が把握しきれないためなんだか不安になるものだと思います。

手放しで安心して運用をおろそかにするのはよくありませんが、 Drupalはセキュリティ対策に力を入れているため、最新バージョンを保って適切に

ただ、それでも常に最新バージョンを保つのは難しいかもしれません。
手順が少しややこしいですし、使っているモジュールやテーマとの互換性も確認する必要があるからです。

「最新バージョンを保ちたいけど、バージョンアップでなにかトラブルが起きないか心配」という場合は、専門の制作会社に保守を依頼してバージョンを保つ手もあります。

弊社モチヤには、Drupalの開発経験が豊富な技術者が多数そろっています。
Drupalの保守・運用に関するご相談がありましたら、お気軽にお問い合わせください。