ペンタセキュリティシステムズ(ペンタセキュリティ)は1月10日、Webアプリケーションを対象とした脆弱性攻撃をまとめたトレンドレポート「EDB-Report(11月)」を公開した。
「EDB-Report」は、オープンデータベースである「Exploit-DB」上に収集されたWebアプリケーションの脆弱性情報を元に、ペンタセキュリティのR&Dセンターが独自の評価で分析・作成している。最新の情報である2016年11月号のレポートによると、確認された攻撃件数は全35件で、前月の48件より13件減少。内訳としては、SQL インジェクション(SQL Injection)の15件が最多で、ロスサイトスクリプティング(Cross Site Scripting:XSS)の9件、コマンド インジェクション(Command Execution)の4件がそれに続いている。
危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が1件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が34件であった。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が1件、攻撃自体は難しくないが迂回コードを利用する「中」が11件、1回のリクエストなどで攻撃が実行できる「易」が23件であった。
攻撃対象となったソフトウェアごとの件数は、Wordpressの9件が最も多かった。そのほか複数件報告されているのが、ScriptCaseの6件、LEPTONの4件、Schoolhos CMSの3件、nodCMSの2件となっている。
同レポートの分析では、Wordpressで発見された全てのSQLインジェクション脆弱性は、Pluginから発生したものであるため、その内容を必ず確認の上、該当するPluginを最新のバージョンに更新しなければならないと指摘。ユーザーの便宜のため使用される、多くのCMSのPluginやThemeなどは、常に危険にさらされており、新しいバージョンが出るたびに、定期的なアップデートをすべきだと警告している。
■過去のEDB-Reportはこちら
【特別企画】SQLインジェクション攻撃への対応の徹底を!「EDB-Report」10月号をリリース - ペンタセキュリティ
【特別企画】8月に続きクロスサイトスクリプティングによる攻撃が最多! 「EDB-Report」9月号をリリース - ペンタセキュリティ
【特別企画】クロスサイトスクリプティングへの対策の徹底を! 「EDB-Report」8月号をリリース - ペンタセキュリティ
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供: