ペンタセキュリティシステムズ(ペンタセキュリティ)はこのほど、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の11月版を公開した。

同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもので、年間12回公開している。

レポートによると、11月に見つかった脆弱性攻撃は16件と、10月より7件減少した。脆弱性の種類別では、SQLインジェクションが最も多く7件、クロスサイトスクリプティングが6件、ローカルファイルの挿入が3件と続いた。

すべての脆弱性を独自の判定基準による危険度で分類すると、最も危険度が高い「早急対応要」が10件、「高」が5件、「中」が1件であった。

攻撃実行の難易度別の分類では、最も攻撃実行が容易な「易」が8件と半数を占め、「中」と「難」がどちらも4件であった。

Webアプリケーションごとの脆弱性の個数は、NXFilterが4件、AlegroCartが4件、ClipperCMSが3件、WordPressが2件、WP-Clientが1件、HumHubが1件、YESWIKIが1件となった。

今回の結果を受け、ペンタセキュリティは「2015年11月は、脆弱性報告件数が最近になって最も少ない期間」と11月は脆弱性の件数の少なさが異例であったと指摘している。

攻撃の数は少なかったものの、危険度の高い攻撃は依然として多く見つかっている。特に今回見つかったSQLインジェクション攻撃は、サーバー内からデータを抽出するもので、危険度が「早急対応要」に指定した。SQLインジェクションの影響を受けるソフトウェアを使う場合は、攻撃を防ぐために、セキュリティパッチおよびセキュアコーディングを実施するようにペンタセキュリティは呼び掛けている。