ペンタセキュリティシステムズ(ペンタセキュリティ)はこのたび、2015年3月のExploit-DBの分析結果を基にした「最新Web脆弱性トレンドリポート(EDB-Report)」を公開した。

レポートは、同社のR&Dセンターデータセキュリティチームによるもの。それによると、3月は脆弱性への攻撃を47件確認され、そのうちCross Site Scripting(XSS)の攻撃が最も多く21件であった。XSSは2月が21件であったが3月は2倍以上に増えた。そのほか、SQLインジェクションが16件、ローカルファイル挿入が5件、コマンドインジェクションが3件、ファイルアップロードが2件であった。

危険度別では、最も危険度の高い「早急対応要」が16件(34%)、次に危険度が高い「高」が31件(66%)と、47件すべてが危険度の高い攻撃であった。これらの攻撃を受けた企業は、致命的な被害を受ける恐れがあるとしている。

特にXSSとCommand Injectionは注意が必要だという。XSSは、Open Source基盤のChamilo LMSにて発生可能なタイプの攻撃であった。一方のCommand Injectionは、ハッカーが攻撃に成功してシステム上の重要ファイルを取得できた場合は、システムを簡単に奪取される恐れがある。同社は、当該ソフトウェアの利用者に、セキュリティパッチやセキュアコーディングなどによる早急な対策を呼びかけている。

危険度に加えて注目すべきデータは難易度別件数だ。レポートでは、攻撃ツールの扱いやすさ、攻撃にかかる時間、労力などを総合して「易」「中」「難」の3段階で分類している。易はツールを簡単に利用でき、攻撃にかかる時間が短い。一方で、「難」は、難解な攻撃手法を理解する必要があり、1回の攻撃に費やす時間も長い。

3月の難易度別件数は「易」が37件(79%)と大半を占め、「難」と「中」はそれぞれ5件ずつ(11%)と少なかった。危険度と難易度の両方のデータを見ると、サイバー犯罪者が危険度の高い攻撃を短時間、かつ、容易に実行できていることがわかる。

攻撃対象となったソフトウェアは20種類。件数にはばらつきがあるものの、「Chamilo」が9件、「Joomla」が6件、「pfSense」が6件、「Fiyo」が5件と多かった。

5件以上発生した主なソフトウェア別脆弱性の詳細情報