脆弱性・事例

悪用確率94%の脆弱性CVE-2018-7600(Drupalgeddon2):今すぐ対応すべき理由

admin · · 最終更新 2026年5月17日 · 6 min read

Drupalgeddon2

CVE-2018-7600(通称「Drupalgeddon2」)は、Drupal 6.x/7.x/8.x のフォーム API に存在するリモートコード実行脆弱性で、認証不要・前提条件なしに任意のコマンド実行を許す。2018 年 3 月の公開以降、ボットネットによる継続的なスキャンと自動侵害が観測されており、EPSS は 94% で推移している。Drupal を採用する公共機関・教育機関のサイトが多く、未パッチサイトは依然として狙われ続けている。

概要

  • 識別子:CVE-2018-7600(通称 Drupalgeddon2)
  • CVSS v3.0:9.8(Critical)
  • 影響を受けるバージョン:Drupal 6.x、7.x(< 7.58)、8.x(< 8.3.9 / < 8.4.6 / < 8.5.1)
  • 修正バージョン:Drupal 7.58, 8.3.9, 8.4.6, 8.5.1 以降
  • 悪用観測:CISA KEV 収録、ボットネット採用、EPSS 94%

技術的な詳細

脆弱性のメカニズム

Drupal の Form API では、レンダリング配列の各キーが「ハッシュ記号で始まる予約属性」(#access_callback#post_render#pre_render#lazy_builder 等)として処理される。問題は、ユーザーから受け取った GET/POST パラメータがそのままレンダリング配列にマージされる経路において、これら予約属性の名前を持つキーがサニタイズされず、そのまま PHP のコールバックとして実行されてしまう点にあった。

結果として、未認証の HTTP リクエスト 1 本で system() 等の任意の PHP 関数を呼び出すことができ、サーバー側で Web プロセス権限(多くの場合 www-dataapache)の任意コマンド実行が成立する。

攻撃ベクター(典型例)

  • POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax に対し、#post_render[]=passthru のような細工された配列を送信
  • レンダリング配列マージで #post_render が攻撃者の指定する関数に置換され、サーバーが任意コマンドを実行
  • 典型的な後続行動:マイニングマルウェア、Web シェル設置、二次配布のための SEO スパム挿入

影響範囲

  • Drupal 6.x(公式サポート終了済みだが、レガシー運用サイトに残存)
  • Drupal 7.x(7.58 未満)
  • Drupal 8.x(8.3.9 / 8.4.6 / 8.5.1 未満)
  • 公共機関・大学・自治体・図書館等で Drupal は採用例が多い

検知のヒント

  • Web アクセスログで element_parentsajax_form_wrapper_format=drupal_ajax を含むリクエストを検索
  • /user/register/user/password エンドポイントへの異常な POST
  • Drupal ファイル内に身に覚えのない PHP ファイル(特に sites/default/files/ 配下)の出現を監視

推奨される技術的対応

  • 即時:Drupal 公式の最新マイナーバージョンへアップグレード
  • 暫定:パッチ適用不能な場合は WAF で上記攻撃パターンを遮断(CRS ルールが整備済み)。さらに /user/register 等を一時的に管理者経由のみに限定
  • 事後確認:侵害痕跡(Web シェル、cron、不審な権限上昇)を Yara / Web Shell 検知ツールでスキャン。汚染が確認された場合、サイトの完全な再構築(バックアップからの復元 + 認証情報全ローテーション)が必要

非エンジニア向け — 経営・管理部門に向けた解説

何が問題か(1 分で)

自社の Web サイトが「Drupal」というシステムで作られている場合、特定の古いバージョンでは「サイト訪問者の振りをしただけで、サーバーで任意のコマンドを実行できる」というほど深刻な穴があります。この穴は 7 年前から知られていますが、未だに自動化された侵害ツールが世界中のサイトを毎日スキャンしており、未対応サイトは時間の問題で侵害されます。

自社への影響を判断する

  • 自社サイトの CMS が Drupal かどうかを IT 部門・制作会社に確認
  • Drupal の場合、2018 年 4 月以降に大規模なアップグレード作業が実施されたか
  • 「長期間更新していないサイト」を社内に複数抱えている場合、棚卸しの優先度が高い

IT 部門・制作会社に確認すべき 3 つの質問

  • 「当社の Drupal サイトのバージョンと、CVE-2018-7600 に対する対応状況を教えてください」
  • 「Web シェルや SEO スパム等、過去に侵害された痕跡がないかをスキャン結果として提示してください」
  • 「今後の CMS バージョン管理ポリシーと、緊急パッチの SLA を文書化してください」

経営判断のポイント

  • 「侵害される」とは Web サイトが書き換えられるだけでなく、フォームから収集した個人情報の窃取、サーバー全体の踏み台化、SEO スパム挿入によるブランド毀損まで含む
  • 古いサイトを残し続けるコストは「制作費」より「インシデント対応費」の方が大きくなる。サイト統廃合の判断材料として活用すべき
  • 公共・教育セクションでは Drupal の採用が多い。委託先の保守契約に「定期パッチ適用」が明記されているかを確認

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。実際の対応にあたっては、自社環境の構成と影響範囲を踏まえ、ベンダー公式情報および JPCERT/CC・CISA 等の公的勧告を必ず確認してください。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細