Magmiを使用されている方への注意喚起
この記事は公開から 1年以上が経過しています。現在の最新情報との整合性については弊社では一切の責任を負いかねます。
Magento用のデータインポートツールとしてよく利用されているものに、「Magmi」というものがあります。
このツールはMagentoのデータフローやインポート機能を使わずに、独自の実装によるデータインポートを提供しています。
Magentoの標準インポート機能はお世辞にも高機能とはいえないので、Magmiを使われる方も多いと思います。
ですがこのツール、phpMyAdmin等と同様に、データベースに対して直接変更できる機能を、ログインIDなどによるアクセス制限なしに提供します。
本来であればこのようなツールは、開発環境やテスト環境といった、関係者だけがアクセスできる環境にのみインストールし、本番の環境にインストールしないことが望ましいものです。
とはいえ予算上の理由や、本番環境しかないという状況ではMagmiのようなツールをインストールして、商品データを定期的にインポートすることがあります。
Magmiにアクセス制限をかけずに放置するとどういう問題があるか
Magmiは最初に書いたとおり、データベースに対して直接データを投入します。
Magentoの管理画面が提供しているログイン認証機能を使用しないため、アクセス制限がない場合はどこからでも、だれでもMagmiの画面にアクセスできてしまいます。
つまり、
- 管理者の知らないうちに想定していないデータをデータベースに登録されてしまう可能性がある
- 任意のプログラムをアップロードファイルとしてアップロードされ、システムの改ざんや情報の漏洩が起きる
ということです。
もちろん、確実にそうなる、というわけではありません。
ですがMagmiをインストールしている環境を一般に公開していた場合、Magmiが入っていない環境と比較すると、そのリスクは当然ながら高くなります。
実際、Magmiを標的とした調査目的のアクセスは行われています。
※2014年11月17日付けでIPA/JVN iPediaに正式な日本語版の脆弱性情報が掲載されました。
管理者が今すぐやるべき対策とは
MagmiをインストールしているMagentoを使用したサイトの管理者は、今すぐ何らかの対策を施す必要があります。Magmiを使われている環境では、日常の運用としてMagmiを活用されていると思います。ですからいますぐMagmiをアンインストールすることは難しいと思います。
ですから現実解としての対策は、アクセス制限を施す事になります。
アクセス制限を掛ける場合、basic認証か、IPアドレスによる認証を施すことが一般的です。
ご契約中のプロバイダが固定IPを付与してくれるタイプの契約の場合は、IPアドレスによるアクセス制限が使えます。
自宅やオフィスのネットワークに侵入されない限りは安全なので、ネットワーク機器を推奨設定で利用していればまず問題はないでしょう。
固定IPが利用できないプロバイダと契約されている場合は、basic認証を使うことになります。もちろん、IPアドレスによる制限と組み合わせても構いません。
いずれにしても何らかの形でアクセス制限を行って、関係者だけがMagmiにアクセスできるようにすることが望ましいと言えます。
もちろん、Magmiを定期的にアップデートしておくことも必要ですが、それ以上にアクセス制限をかけておくことは何よりも重要です。
お使いのサイトがMagmiのアクセス制限に関する脆弱性を抱えていないかは、検証ツールを使うことで簡単にチェックすることができます。
気になる方はぜひこのツールでチェックしてみることをおすすめします。
- お知らせ (34)
- Magento Open Source (169)
- Adobe Commerce (86)
- Magentoトピックス (349)
- Magentoバージョンアップ (11)
- OroCommerce (1)
- AkeneoPIM (16)
- Shopware (26)
- 世界のプライバシー保護規制 (11)
- OroCRM (14)
- Typo3 (9)
- イベント (27)
- Mage-OS (1)
- エクステンションリリース情報 (75)
- Mautic (1)