2026年4月8日、Movable Type に深刻な脆弱性が公表された
2026年4月8日、シックス・アパート株式会社は Movable Type の深刻な脆弱性を公表し、最新版への即時アップデートを呼びかけました。IPA からも JVN#66473735 として同日に注意喚起が出されており、影響範囲はかなり広範です。
今回修正された脆弱性は大きく 2 種類あります。
- CVE-2026-25776(MTC-31204) — リスティングフレームワークのフィルタ処理で、任意の Perl コードが実行できるリモートコード実行(RCE)
- CVE-2026-33088(MTC-31212) — リスティングフレームワークのリクエスト処理における SQL インジェクション
どちらも「認証済みユーザー」の観点はあるものの、管理画面に到達できれば深刻な被害につながるレベルで、gihyo.jp や Web担当者Forum も緊急の報道を出しています。サポート終了済みバージョンにも影響があるため、放置しているサイトほどリスクが大きいのが今回の特徴です。
本記事は「とりあえずパッチを当てて様子見」ではなく、この機会にリプレース(CMS 乗り換え)まで踏み込むべきかを判断したい Web 担当者・情シス・経営層に向けて書いています。
まずは当面の対応 — 48 時間以内にやるべきこと
リプレース論に入る前に、目の前の脆弱性対応を優先してください。シックス・アパートの公式アナウンスに沿って、以下の順で動くのが定石です。
- 影響範囲の棚卸し 現在運用しているすべての Movable Type サイトのバージョン一覧を作る。EOL(サポート終了)済みバージョンが含まれていないかも合わせて確認する。
- 最新版へのアップデート クラウド版は 2026 年 4 月 8 日時点で シックス・アパートがすべてアップデート済みと発表。ソフトウェア版は個別にアップデート作業が必要。
- すぐにアップデートできない場合の回避策
Data API のアクセス制限を設定する。具体的には、信頼できる IP からのみ管理画面・Data API にアクセスできるよう
mt-config.cgiと Web サーバー側の設定で絞る。 - 事故が起きていないかの確認 アクセスログ・管理画面のログイン履歴・投稿履歴に不審な痕跡がないかを一次調査する。
ここまでが「今日・明日やること」です。Web セキュリティ全般の基礎は Webサイトのセキュリティ対策入門 でもまとめているので、合わせて体制を整えておくと安心です。
“パッチ延命”か”リプレース”か — 5 項目の判定フレーム
当面の対応が片付いたら、次は中長期の意思決定です。「今回も最新版にしたし、当分は大丈夫」で終わらせるか、「この機会に CMS 自体を見直す」か。判断軸は次の 5 項目で整理できます。
| # | 判定項目 | リプレース寄りのシグナル |
|---|---|---|
| 1 | MT バージョンの状況 | EOL 済み、もしくは 1 メジャーバージョン以上古い |
| 2 | サイトの更新頻度 | 月 1 本未満、または数年単位で放置状態 |
| 3 | 周辺ツールのカスタマイズ量 | プラグイン多用、独自 Perl モジュール、古い版への独自パッチ |
| 4 | セキュリティ対応の”主担当者” | 退職済み/外注ベンダーが連絡不能/社内で誰も構造を把握していない |
| 5 | 事業インパクト | 問い合わせ・採用・IR など”止まると本当に困る”経路にサイトが使われている |
3 項目以上が当てはまったら、リプレースを本気で検討する段階です。今回のような脆弱性報道のたびに深夜残業で緊急対応するのは、組織としても担当者個人としても持続しません。リニューアルのタイミング自体に悩んでいる場合は、Webサイトリニューアルの最適タイミング の判定基準も合わせて参照してみてください。
MT からの移行先 3 パターン比較
「乗り換え」と言っても、移行先は大きく 3 つのパターンに分かれます。Movable Type が得意としてきた「静的生成(リビルド)」と「構造化された記事管理」を踏まえると、2026 年時点の現実的な選択肢は次のとおりです。
| 選択肢 | こんなサイト向き | メリット | 注意点 |
|---|---|---|---|
| WordPress 移行 | 更新頻度が高い/プラグイン拡張性を重視 | 情報量・人材市場ともに豊富。保守委託先を見つけやすい | セキュリティ運用を WordPress 側でも継続する必要がある |
| ヘッドレスCMS + Astro/Next.js | 企業ブランドサイト/採用・IR /オウンドメディア | 静的配信でセキュリティ面が劇的に軽くなる。表示速度も向上 | 初期移行コストは高め。編集体験に慣れが必要 |
| ノーコードCMS(Studio / STUDIO CMS 系) | 小規模サイト/LP 中心 | 運用コストと学習コストがとても低い | 拡張性・記事構造の複雑さに限界がある |
MT 利用企業の中核ユースケース(コーポレート、士業、自治体、学校、出版)との相性で言えば、ヘッドレスCMS + 静的サイトの組み合わせが最もフィットしやすいケースが多いと考えています。理由は単純で、公開サーバー側に WordPress のような PHP 実行環境を置かないため、今回のような CMS 脆弱性の”被害拡大面”そのものが消えるからです。
具体的な移行手順は WordPressからヘッドレスCMSへの移行ガイド で WordPress 前提ながら詳しく解説しています。MT からの移行でも、基本の流れ(情報設計 → コンテンツ抽出 → CMS 設定 → フロント実装 → URL 整合)は同じです。
期間とコストの目安 — プロに任せた場合
「で、いくらかかるの?」という話は避けて通れません。GleamHub でこれまで対応してきたコーポレート/メディア案件の感覚値で、以下が相場感です(あくまで目安。要件で大きく変動します)。
- ヘッドレス移行 + Astro 静的配信(10〜30 ページ):およそ 120 万〜 300 万円、期間 8〜16 週
- WordPress 移行(同規模):およそ 80 万〜 200 万円、期間 6〜12 週
- ノーコード CMS 移行(小規模):およそ 30 万〜 80 万円、期間 3〜6 週
総合的な費用感の考え方は ホームページ制作費用 完全ガイド 2026年版 や コーポレートサイトリニューアルガイド にもまとめています。補助金を絡めれば実質負担を 1/2 程度に抑えられるケースもあるため、ホームページ制作に使える補助金ガイド も一度目を通しておく価値はあります。
発注前に押さえる 3 つのチェックポイント
最後に、移行を外部に発注する場合に必ず確認したい 3 項目です。ここを曖昧にしたまま契約するのが、リプレース案件の最大の失敗パターンです。
- URL 整合とリダイレクト設計
既存の SEO 資産を失わないよう、旧 URL → 新 URL の 301 リダイレクトマップを事前に合意すること。MT 特有の
mt-entry-X.html形式などは注意が必要。 - コンテンツの持ち出し可能性 提案された新 CMS で、将来さらに別 CMS に引っ越すとき「データを Markdown や JSON で落とせるか」を確認。ベンダーロックインを避ける最低線。
- セキュリティ運用の”当事者”の明確化 誰が、いつ、どのツールで、脆弱性情報をウォッチし、パッチ当てを判断するのか。サービスイン後の運用契約に明記する。
発注先の選び方全般については Web制作会社の選び方 も合わせて参考にしてみてください。
まとめ
- 2026年4月8日、Movable Type に RCE と SQL インジェクションの深刻な脆弱性が公表。まず 48 時間以内に最新版アップデートまたは Data API 制限で緊急対応を。
- 中長期では5 項目の判定フレームを使って、パッチで延命するかリプレースに踏み込むかを冷静に評価する。
- MT ユーザーの中核用途(コーポレート/士業/自治体/学校/出版)とはヘッドレス CMS + 静的配信の相性が良いケースが多い。
- 発注時は「URL 整合」「データ持ち出し可能性」「セキュリティ運用の主担当」の 3 点を契約書レベルで明確にすること。
GleamHub では Movable Type からのリプレース相談・緊急パッチ対応・ヘッドレス CMS 移行設計をワンストップで支援しています。「今回の脆弱性を機に、そろそろ CMS ごと見直したい」という方は、ぜひお問い合わせフォームから状況をお聞かせください。
