人気ECプラットフォームであるMagentoのREST APIに、認証なしでリモートコード実行(RCE)やアカウント乗っ取りを可能にする深刻な脆弱性が発見されました。セキュリティ企業Sansecによって「PolyShell」と名付けられたこの脆弱性は、悪意のあるコードを画像ファイルとして偽装し、システムにアップロードすることを可能にします。この問題は、Magentoを利用するECサイト運営者にとって緊急の対策が求められる重大な脅威です。
PolyShell脆弱性の詳細と攻撃手法
Sansecが発見した「PolyShell」脆弱性は、MagentoのREST APIがカートアイテムのカスタムオプションとしてファイルアップロードを受け入れるメカニズムに起因します。具体的には、製品オプションが「ファイル」タイプの場合、Magentoはbase64エンコードされたファイルデータ、MIMEタイプ、ファイル名を含むfile_infoオブジェクトを処理します。このファイルはサーバー上のpub/media/custom_options/quote/ディレクトリに書き込まれます。
攻撃者はこの仕組みを悪用し、悪意のあるPHPコードを画像ファイルとして偽装してアップロードします。ファイルがサーバーに保存された後、Webサーバーの設定によっては、この偽装されたファイルが実行可能となり、リモートコード実行(RCE)を許してしまう可能性があります。また、保存型クロスサイトスクリプティング(XSS)を通じて、顧客や管理者のアカウントが乗っ取られる危険性も指摘されています。
この脆弱性は、Magento Open SourceおよびAdobe Commerceのバージョン2.4.9-alpha2までのすべてのバージョンに影響を及ぼします。Sansecは、現時点ではこの脆弱性が実際に悪用された証拠はないと報告していますが、その潜在的な影響の大きさから、迅速な対応が不可欠です。
Adobeの対応と残された課題
Adobeは、この問題に対して2.4.9プレリリースブランチで修正を適用しており、これはセキュリティアップデート「APSB25-94」の一部として含まれています。しかし、Sansecの指摘によると、現在のプロダクションバージョンには個別のパッチが提供されていません。
AdobeはWebサーバーの設定例を提供しており、これによって被害を大幅に制限できるとしていますが、多くのECサイトはホスティングプロバイダが提供するカスタム設定を使用しているため、この推奨設定が適用されていないケースが多数存在すると考えられます。これにより、多くのMagentoストアが依然としてこの脆弱性のリスクに晒されている状況です。
特に、カスタム設定を利用しているサイトでは、Adobeが意図するセキュリティ対策が十分に機能しない可能性があり、各サイト運営者が自身の環境を確認し、適切な対策を講じる必要性が高まっています。
ECサイト運営者が取るべき緊急対策
PolyShell脆弱性による潜在的なリスクを軽減するため、Magentoを利用するECサイト運営者は以下の対策を速やかに実行することが推奨されます。
- アップロードディレクトリへのアクセス制限:
pub/media/custom_options/ディレクトリへの直接的なWebアクセスを制限します。これは、悪意のあるファイルがアップロードされたとしても、外部から実行されるのを防ぐための重要なステップです。 - Webサーバー設定の確認と強化: NginxやApacheなどのWebサーバー設定を確認し、上記のディレクトリへのアクセスが確実にブロックされていることを検証します。特に、PHPファイルなどの実行可能なスクリプトがこのディレクトリから実行されないように設定を強化することが重要です。
- Webシェルおよびマルウェアのスキャン: 定期的にストアをスキャンし、Webシェル、バックドア、その他のマルウェアが存在しないかを確認します。既に侵害されている可能性も考慮し、徹底的なチェックが必要です。
- Webアプリケーションファイアウォール(WAF)の導入: Sansecは、アクセスをブロックしてもアップロード自体は防げないため、悪意のあるコードのアップロードを防ぐためには専門のWAFの利用が不可欠であると強調しています。WAFは、不正なアップロード試行を検知し、ブロックする上で有効な手段となります。
広がるMagentoサイト改ざんキャンペーンとの関連は?
今回のPolyShell脆弱性の報告と時を同じくして、NetcraftはMagentoのECサイトを標的とした大規模な改ざんキャンペーンが進行中であると警告しています。このキャンペーンは2026年2月27日から開始され、複数のセクターと地域にわたる数千のMagentoサイトが侵害され、改ざんされています。
攻撃者は、公開されているWebディレクトリにプレーンテキストファイルをアップロードする手法を用いており、約15,000のホスト名、7,500のドメインにわたって改ざんされたテキストファイルが展開されています。これには、Asus、FedEx、Fiat、Lindt、Toyota、Yamahaといった世界的に認知されているブランドのインフラも含まれています。
現時点では、この改ざんキャンペーンが特定のMagento脆弱性や設定ミスを悪用しているのか、あるいは単一の攻撃者によるものなのかは明らかになっていません。また、PolyShell脆弱性とこのキャンペーンとの直接的な関連性も不明です。しかし、Magentoサイトを狙った攻撃が活発化している現状は、ECサイト運営者にとってセキュリティ対策の重要性を改めて認識させるものです。
まとめ:ECサイトのセキュリティ強化は待ったなし
MagentoのPolyShell脆弱性は、認証なしでリモートコード実行やアカウント乗っ取りを可能にする極めて深刻な問題です。Adobeがプレリリース版で修正を適用しているものの、既存のプロダクションバージョンには個別のパッチが提供されておらず、多くのECサイトがリスクに晒されています。
今回の脆弱性は、特に以下のようなECサイト運営者にとって緊急の対応が求められます。
- Magento Open SourceまたはAdobe Commerceのバージョン2.4.9-alpha2以前を使用しているサイト
- ホスティングプロバイダのカスタム設定を利用しており、Adobe推奨のWebサーバー設定が適用されているか不明なサイト
- WAFを導入していない、またはセキュリティスキャンを定期的に実施していないサイト
ECサイトは顧客の個人情報や決済情報を扱うため、セキュリティ侵害は企業の信頼を大きく損ない、法的な問題にも発展しかねません。PolyShell脆弱性への対策はもちろんのこと、現在進行中の大規模な改ざんキャンペーンの動向にも注意を払い、継続的なセキュリティ監視と対策の強化が不可欠です。最新のセキュリティ情報を常にチェックし、迅速な対応を心がけることが、ECサイトを安全に運営するための鍵となります。
情報元:The Hacker News