ペンタセキュリティシステムズ(ペンタセキュリティ)は2月27日、2017年1月1日から1月31までのWeb脆弱性トレンドレポート「EDB-Report」を公開した。

EDB-Reportは、毎月(年12回)提供しているオープンデータベース「Exploit-DB」上に収集されたWebアプリケーションの脆弱性情報を元に、ペンタセキュリティのR&Dセンターが独自の評価で分析・作成したもの。

今回公開された「EDB-Report」によると、2017年1月のExploit-DBの脆弱報告件数は合計147件で、他の期間の脆弱性数よりも4倍ほど多かったという。脆弱性の内訳は、SQL インジェクション(SQL Injection)が最多で127件、次いでクロスサイトスクリプティング(Cross Site Scripting : XSS)が17件、リモートコマンド インジェクション(Remote Command Execution)、特権昇格(Privilege Escalation)、コード インジィクション(Code Injection)がそれぞれ1件だった。

脆弱性別件数

脆弱性数が激増した理由について同レポートは、「『Movie Portal Script』のように、特定の目的に合わせてパッケージ化されているScriptに対した脆弱性が多く発見された為」と分析している。

また、危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が12件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が135件。攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が16件、攻撃自体は難しくないが迂回コードを利用する「中」が25件、1回のリクエストなどで攻撃が実行できる「易」が106件だった。

危険度別件数

攻撃実行の難易度別件数

主なソフトウェア別脆弱性発生件数としてはImage Sharing Script、Movie Portal Scriptが7件、NGO Website Script、NGO Directory Script、TrueConf Serverが6件、Micro Blog Scriptが5件、My Private Tutor Website Builder Scriptが4件。

主なソフトウェア別脆弱性発生件数

なお同レポートでは、今回挙げられた脆弱性を「攻撃に成功するかどうかを確認する単純なクエリではなく、実際にDBデータを抽出するクエリで構成されている」ことから、危険度と難易度の高い脆弱性と分析。脆弱性が発見されたScriptを使用する管理者は、該当する脆弱性の内容を確認し、入力内容を厳密に検証するセキュアコーディングおよび関連アップデートを実施するよう呼びかけている。

■過去のEDB-Reportはこちら
【特別企画】Wordpressプラグインのアップデートを! 「EDB-Report」12月号をリリース - ペンタセキュリティ
【特別企画】CMSのPluginやTheme更新の徹底を!「EDB-Report」11月号をリリース - ペンタセキュリティ
【特別企画】 SQLインジェクション攻撃への対応の徹底を!「EDB-Report」10月号をリリース - ペンタセキュリティ
【特別企画】8月に続きクロスサイトスクリプティングによる攻撃が最多! 「EDB-Report」9月号をリリース - ペンタセキュリティ

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: