ペンタセキュリティシステムズはこのほど、「最新Web脆弱性トレンドレポート(EDB-Report)」を公開した。

調査結果によると、2月に確認された脆弱性への攻撃の合計は62件と多い。そのうち、SQLインジェクション(SQL Injection)は31件と最も多かった。SQLインジェクションがトップである結果は先月に引き続きのこと。

次に多かったのが「クロス・サイト・スクリプティング(Cross Site Scripting:XSS)」で24件。ローカルファイル挿入は6件、ファイルアップロードは1件と少なかった。

危険度が高い脆弱性が多かったことも特徴だ。攻撃内容を危険度別に分類すると、最も危険度が高い「早急対応要」が40件(65%)であった。「早急対応要」は、攻撃者が攻撃に成功した場合、システムへの侵入される恐れがあり、危険性が非常に高い。

特にSQLインジェクションとクロス・サイト・スクリプティングの攻撃は、「早急対応要」のものが多く、同社は引き続き最新の対策が必要だと呼びかけている。システム情報を取得するか、クライアントに2次被害を及ぼす「高」が22件(35%)、情報漏洩の危険性を示す「中」は確認されなかった。

攻撃の難易度を3段階に分類

レポートでは、攻撃ツールの使い方の難易度を「難」「中」「易」とランク付けしている。「難」は、複数の脆弱性を攻撃するパターン、高度の攻撃コードを採用したパターン、知らされていない攻撃コードをい採用したパターンのいずれかの該当する。要は、「難」の攻撃をするには、利用者が高度な知識や技術が求められ、攻撃にかかる労力も多い。

一方で、「易」は、1回のリクエストで攻撃が成立する、複数回トライするも、既知の攻撃コードを採用したパターンのいずれかに該当する攻撃が該当する。つなわちに、攻撃者にとっては、攻撃が簡単かつ早急に実行できる。「中」は、攻撃手法自体は難しくないが、迂回コードを採用したパターンだ。

調査結果を見ると、「易」が37件(60%)を半数を大きく超えており、攻撃側が有利な結果となった。「中」が24件(39%)、「難」が1件(2%)しか確認されず、攻撃の難易度が上がるにつれて件数が少なくなる傾向があった。

攻撃対象となった脆弱性を含むソフトウェア別に分類では、19種が確認されている。オープンソースCMSの「utCMS」とバグ追跡ツールの「PHPBugTracker」がどちらも17件と最多であった。utCMSは、2月に初めて脆弱性が報告された。