ペンタセキュリティシステムズ(ペンタセキュリティ)は5月17日、Webアプリケーションを対象とした脆弱性攻撃をまとめたトレンドレポート「EDB-Report(4月)」を公開した。
「EDB-Report」では、脆弱性のオープンデータベースである「Exploit-DB」上に収集されたWebアプリケーションの脆弱性情報を元に、同社のR&Dセンターが独自の評価で分析・作成している。
今回のレポートによると、2016年4月に確認された攻撃件数は全23件で、3月より10件減少した。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の11件が最多。SQL インジェクション(SQL Injection)が5件、コマンド インジェクション(Command Injection)、RFIリモートファイル挿入(Remote File Inclusion:RFI)、ローカルファイル挿入(Local File Inclusion:LFI)が各2件、ファイルアップロード(File Upload)が1件であった。
|
危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が3件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が20件であった。危険度が最も低い「中」は確認されなかった。
|
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が2件、攻撃自体は難しくないが迂回コードを利用する「中」が3件、1回のリクエストなどで攻撃が実行できる「易」が18件であった。
|
攻撃対象となったWebアプリケーションごとの件数は、Asbru Web Content Management System、NationBuilder、Wordpressが各3件、Novell Service Deskが2件、phpLiteAdmin、op5、ImpressCMS、PHPmongoDB、modified eCommerce Shopsoftware、PHPBack、RockMongo、SocialEngine、GLPi、ManageEngine Password Manager、Ovidentia、OpenCartが各1件であった。
|
今回見られたクロスサイトスクリプティング(Cross Site Scripting)は、攻撃パターンが単純なもので、スクリプトをパラメーターに挿入する形式でWeb開発をする際、パラメーターに対するセキュアコーディングを適用さえしていれば防げるものであった。
一方でSQLインジェクションに関連して、特定の関数を使用した攻撃が成功することによりデータベース内の情報を類推でき、1回攻撃を受けた場合、2次攻撃、3次攻撃と続けて攻撃を受ける恐れがある危険な脆弱性も発見されたという。そのため、SQLインジェクション攻撃の対象となったソフトウェアを使う場合は、管理者がパラメーター入力値の検証を行うなど、入念な対策をする必要がある。
また、そのほかの脆弱性があるソフトウェアを使用する場合でも、最新バージョンへのアップデートおよびセキュアコーディングを行うなど、最新の注意を払うように呼び掛けている。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:
