Blog作成・管理ツールとして高い人気の、シックス・アパートの「Movable Type」に脆弱性が発見された。Cookieを使ったセッション管理に問題があり、第三者に不正アクセスされる可能性がある。脆弱性が存在するのは、現在日本語最新版のバージョン3.151-jaや、3.01D-ja / 3.11-ja / 3.121-ja / 3.122-ja / 3.14-ja / 3.15-jaの各バージョンで、英語版の同バージョンにも同じ脆弱性が存在する。英語版ではすでにバージョン3.16が出ており、こちらには脆弱性は存在しない。日本語版の最新版は6月上旬にリリース予定だ。

Movable Typeがセッション管理のために使うCookieには、ハッシュ化したユーザーアカウント情報が含まれており、第三者がCookieの値を取得することで、他人のMovable Typeにログイン可能になってしまい、これにより、第三者が勝手にBlogに投稿、記事の削除などが行える。管理画面(mt.cgi)へのパス自体は、コメントやトラックバックのパスから確認できる。

対策としては、脆弱性を解消した3.16をインストールする必要があるが、同社では、mt.cgiのパスが容易に知られるなど、Movable Typeの通常の設定自体が脆弱であるため、mt.cgiへのリンクを「CGIPath」として設定するのではなく、「AdminCGIPath」と設定し、管理画面へのリンク先を分かりにくくし、確実にCookieを削除するようにすることを推奨している。

ユーザー1人のログインからログアウトまでを「セッション」と呼び、それを管理するためにCookieが使われることが多い。通常はログアウトするかWebブラウザを終了するまでCookieは保存され、ログイン状態を継続させることができるので、ページを移動するたびにログインし直すなどの手間が省ける。ただし、Movable Typeのログイン画面で「情報を登録する?」にチェックを入れている場合は、ブラウザ終了後もCookieは保持されることになる。

Cookie盗聴によるセッションハイジャックの脆弱性については、2003年にはすでに大きな問題として取り上げられており、産業技術総合研究所のセキュアプログラミングチームが詳細な報告を提出している。