ペンタセキュリティシステムズは10月29日、Webアプリの脆弱性レポート「EDB-Report」の9月版を公開した。

EDB-Reportは、ペンタセキュリティが毎月(年12回)提供するレポート。脆弱性の情報を集積する「Exploit-DB」の情報などを基にして、同社の研究チームがWebアプリの脆弱性をさまざまな角度から分析し、レポートを作成している。

レポートによると、9月に見つかったWebアプリを狙った脆弱性攻撃の件数は全32件で、8月より6件減少した。最も多かったのがクロスサイトスクリプティングで、スクリプトをパラメータに挿入する単純なものであった。サイト提供者は、Web開発の際にパラメータにセキュアコーディングを施すことで防げる。

次に多かったのがSQLインジェクションで、ハッカーが攻撃しやすいパラメータ名を使用するものであった。攻撃を防ぐには、パラメータの入力値の検証を行うだけでなく、ハッカーの標的にならないようにする抜本的な取り組みが必要になる。さらに、アプリを利用する企業も安全性の高い最新バージョンへのアップデートやセキュアコーディングを実施することが重要だという。

攻撃別の件数は、リモートファイル挿入が1件、ファイルアップロードが5件、ローカルファイル挿入が7件、SQL インジェクションが9件、クロスサイトスクリプティングが10件。

危険度別に分類すると、最も危険度が高い「早急対応要」が9件、次に危険度が高い「高」が23件、危険度が最も低い「中」は0件であった。

攻撃の難易度別件数は「難」が2件、「中」が1件、「易」が29件であった。

攻撃に狙われたWebアプリの内訳は、OpenfireとSilver Peak VXOA、Beditaが各3件、Kirby、refbase、Mango Automation、EZ SQL Reportsが各2件、ZeusCart、FortiManager、JSPMySQL Administrador、Monsta FTP、Octogate、Centreon、Pligg、Kaseyar、DirectAdmin、YesWiki、Vtiger、FireEye、FAROL、WordPress、ManageEngine EventLog Analyzerが各1件であった。