概要

2026年5月、運用支援中の某サイトが利用しているMovable Typeに対して、リモートコード実行（RCE）およびSQLインジェクションに関する重大な脆弱性（CVE-2026-25776 / CVE-2026-33088）が公開されました。

https://www.ipa.go.jp/security/security-alert/2026/20260408-jvn.html

クライアントへの影響を最小限に抑え、対応を実施しました。

対応方針の選定

本脆弱性に対してはMovable Typeのバージョンアップが一次対応として挙げられましたが、本番環境への影響リスク・動作検証コスト・対応期間を総合的に評価した結果、バージョンアップは今回実施せず、公式が推奨する回避策を採用しました。

対応内容

1. 現状調査

運用中の機能を整理するとともにステージング環境で事前検証を行い、安全に実施できることを確認しました。

2. 攻撃経路の遮断

脆弱性の攻撃経路となるData API CGIを無効化しました。

3. 攻撃対象面の縮小

今回の勧告内容の対応に加え、当サイトでは未使用の管理系・旧機能系CGIファイルが有効となっていたため、これらに対し外部からのアクセスを遮断する対応もご提案し、実施しました。

• 診断ツール（mt-check.cgi）
• セットアップウィザード（mt-wizard.cgi）
• アップグレードスクリプト（mt-upgrade.cgi）
• Atom API（mt-atom.cgi）
• トラックバック（mt-tb.cgi）
• コメント機能（mt-comments.cgi）

4. Apacheアクセス制御の追加

上記ファイルに対してはchmod による権限削除に加え、.htaccess によるHTTPレベルのアクセス禁止設定を追加し、エラーレスポンスを403に統一しました。多層防御により、設定ミスや権限変更によるリスクを低減しています。

5. 最終動作確認

全対象CGIへの403応答確認、公開サイトの正常表示、CMS管理画面からの再構築動作を確認し、対応完了としました。