2016年4月、国内の複数のWebサイトが不正アクセスを受け、個人情報が流出したことを明らかにした。原因は、CMS(Content Management System:コンテンツ管理システム)「Movable Type」のプラグインとして提供されている「ケータイキット for Movable Type」に存在していたOSコマンドインジェクションの脆弱(ぜいじゃく)性だ。 OSコマンドインジェクションは、比較的古くから存在していた問題だ。Webサイト内のフォームに文字列を入力することでサーバ上でOSのコマンドを実行させ、リモートからさまざまな意図しない操作を可能にしてしまうものだ。 確かに危険性は高いが、IPAが公開している「安全なWebサイトの作り方(pdf)」などにまとめられている通り、対策は示されている。また、OSコマンドを呼び出すのではなくライブラリを利用するといったプログラミング作
![CMSのプラグイン、何でもかんでも入れてませんか?](https://cdn-ak-scissors.b.st-hatena.com/image/square/534395a1d81c62cf71c71c2fbe7f2d26352ca425/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F1605%2F12%2Fl_mt_add06_tokumaru.jpg)