ペンタセキュリティシステムズ(ペンタセキュリティ)は5月29日、同社が発行するWebセキュリティの定例レポート「EDR-Rdport(4月)」を公開した。
レポートによると、4月に確認された脆弱性攻撃は全部で33件。そのうち、SQLインジェクションが最も多い19件であった。ローカルファイル挿入が6件、クロス・サイト・スクリプティングが4件、ファイルアップロードが3件、コマンドインジェクションが3件と続いた。
危険度別の件数は、最も危険度が高い「早急対応要」が16件、2番目に高い「高」が17件、最も危険が低い「中」は0件で、前回のレポートに引き続き、危険度が高い攻撃のみ確認された。「早急対応要」の攻撃を受けると、システムが乗っ取られ、莫大な損害を受けるおそれがあるとして、注意を呼び掛けている。
攻撃実行の難易度別件数は、最も攻撃が簡単な「易」が18件と、過半数を占めた。攻撃ツールも日々改良が進められ、ツールの利用者側は比較的に簡単な操作で、効率的に攻撃ができる。攻撃者にとって有利な状況が続く傾向にある。そのほかの難易度別の件数では、「中」が9件、最も難易度の高い「難」が6件となった。
攻撃対象となったソフトウェアは、Wordpressが21件と、ほかを大きく引き離した。そのほか、JoomlaとGoAutoDialを狙った攻撃がそれぞれ2件確認された。
同社がまとめたトピックでは、Wordpress CMSに多くの攻撃があったことを取り上げている。SQLインジェクション攻撃のほとんどがWordpress CMSで発見され、クロス・サイト・スクリプティング攻撃やファイルアップロードの攻撃も少なからず確認されている。
Wordpressの脆弱性はPluginに集中していることがわかっている。同社は、Wordpressの利用者はセキュリティ維持のために、脆弱性診断やPluginのアップデートを定期的に行う必要があると指摘している。
そのほか、GoAutoDialのソフトウェアからも2件の脆弱性が発見された。脆弱性はソースコードによるもので、単純な攻撃パターンだけでも悪用できるおそれがある。