ペンタセキュリティシステムズは9月4日、セキュリティの定期レポート「EDB-Report」の2015年7月号を公開した。

レポートによると、7月に確認されたWebアプリケーションへの攻撃は計38件で、その数は先月から横ばい。内訳は、SQLインジェクション(SQL Injection)による攻撃が15件と最も多かった。続いて、クロス サイト スプリプティング(Cross Site Scripting:XSS)が11件、ローカルファイル挿入(Local File Inclusion:LFI)が6件、コマンドインジェクション(Command Injection)が4件、ディレクトリトラバーサル(Directory Traversal)が1件、ファイルアップロード(File Upload)が1件だった。

脆弱性別件数

確認された攻撃を危険度別に分類すると、「早急対応要」レベルが9件(24%)、「高」レベルが28件(76%)。「早急対応要」は、攻撃を受けた場合、最悪システムへの侵入を許す恐れがある手法で、最も危険度が高い。一方の「高」は、システム情報を取得されるまたはクライアントに2次被害を及ぼすことがある。そのほか、今回は報告されていないが、情報漏洩する恐れがある「中」レベルがある。

危険度別件数

攻撃者の実行難易度別では「易」が26件(68%)と大半を占め、「中」が6件(16%)、「難」が6件(16%)となった。「易」は、1回のリクエストで攻撃が成立するパターン、既知の攻撃コードを採用したパターンなどの手法で、攻撃者側にとっては複雑な操作を求められず、簡単に対象を攻撃できる。逆に「難」は、複数の脆弱性を狙う必要があるパターンなど、高度な技術を求められる。

難易度別件数

ソフトウェア別の脆弱性攻撃発生件数は、WordPressが12件。これでWordPressは3カ月連続で、最も攻撃されているアプリケーションとなった。そのほか、ZenPhotoが4件、SO Planningが4件、Joomlaが3件、Xceedium Xsuiteが3件、ArticleFRが3件、Centreonが2件、Hawkeye-Gが1件、phpFileManagerが1件、Arab Portalが1件、phpFileManagが1件、phpSQLiteCMSが1件、phpliteadminが1件、sysPassが1件となった。

主なソフトウェア別の脆弱性攻撃発生件数

同社は、SQLインジェクションによる攻撃の件数が増えるにつれ、手法が多様化していると指摘した。SQLインジェクションは、攻撃が成功した場合、さらに2次攻撃を仕掛けてシステム上の機密情報や個人情報を漏洩させるといった特徴がある。

今回見つかったのは、攻撃可能かどうかを判断する単純なクエリー、直接情報を抜き出すクエリー、システムに一時的な障害を起こす攻撃を試みるクエリー。主要ソフトウェア別の脆弱性発生状況を見ると、6種類のアプリケーションで(WordPress、Arap Portal、Centreon、SO Planning、sysPass、Joomla)で攻撃が見つかっている。

同社は、企業がSQLインジェクションの攻撃を防ぐために、Webアプリケーションにセキュアコーディングを適用し、定期的なアップデートをするようにと呼び掛けている。

5件以上発生した主なソフトウェア別脆弱性の詳細情報