ペンタセキュリティシステムズ(ペンタセキュリティ)が毎月発行している「EDB-Report」。これは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報から、同社のR&Dセンターが分析・作成している月例レポートだ。

最新の情報である2016年8月号のレポートによると、確認された攻撃件数は全部で36件。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の12件が最多。SQL インジェクション(SQL Injection)が10件、コマンド インジェクション(Command Injection)が5件、ローカルファイル挿入(Local File Inclusion:LFI)が4件、ディレクトリトラバーサル(Directory Traversal)とリモートコマンド実行(Remote Command Execution)が各2件、ファイルアップロード(File Upload)が1件報告されている。

また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が3件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が33件であった。

攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が3件、攻撃自体は難しくないが迂回コードを利用する「中」が12件、1回のリクエストなどで攻撃が実行できる「易」が32件であった。

攻撃対象となったWebアプリケーションごとの件数は、WSO2 Carbonが最多の7件、Nagios Network AnalyzerとWordpressが5件、Sakaiが4件、Nagios Incident Manager、NUUO NVRmini、FreePBXが2件、Navis WebAccess、Nagios Log Server、PHP Power Browse、chatNow、phpCollab CMS、Davolink、Subrion CMS、ZabbixおよびWebNMS Framework Serverが各1件であった。

同レポートによると、報告件数が最も多かったクロスサイトスクリプティングについて、8月に見られた攻撃は単にスクリプトを使用したり、イメージタグを使用するなど、攻撃難易度や危険度の側面ではレベルの高い攻撃パターンではなかったという。しかしクロスサイトスクリプティングの攻撃は、スクリプトおよび特定タグが実行されると脆弱な部分に多様なコードが挿入できるものであるため、スクリプトおよびタグなどの実行自体ができないようにする必要がある。そのため、脆弱性が発見された該当ソフトウェアを使用する管理者はそのスクリプトおよびイメージタグが実行されるかを確認した後、必ずセキュアコーディングおよびアップデートを行うことが必要だと提言している。

またクロスサイトスクリプティング以外の脆弱性としては、Linux Bashの脆弱性として知られるShellShockが発見されたという。Linux Bash攻撃パターンは主にHTTP Headerに入り、CGIが実行される際に任意の命令語を実行するというもの。2014年に初めて発見されたShellShockの脆弱性は、OpenSSLの脆弱性であるHeartBleed脆弱性以上に波及力が大きな脆弱性だったが、現在はBash Updateを最新に実施することで解決することができるとしている。また。古いバージョンのLinuxを使用している管理者に対しても、規模の大きいセキュリティ事故とならないよう、セキュリティアップデートを実施するようコラムではアドバイスを送っている。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: