ペンタセキュリティシステムズは1月27日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2015年12月版を公開した。

同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもので、年間12回公開している。

レポートによると、12月に見つかったWebアプリケーションの脆弱性攻撃は合計で37件となり11月の16件から大幅増となった。攻撃の内訳は、Local File Inclusion(LFI)が13件と最も多く、クロスサイトスクリプティングが9件、SQLインジェクションが6件、RFIが5件、Code Injectionが2件、File UploadとCommand Injectionが1件であった。

ペンタセキュリティが定めた独自の危険度で分類すると、危険度が最も高い「早急対応要」が10件(27%)、2番目に高い「高」が27件(73%)であった。攻撃実行の難易度で分類すると、最も攻撃が複雑で難しい「難」が2件(5%)、「中」が3件(8%)、「易」が32件(86%)であった。

攻撃を受けたWebアプリケーション別に分類すると、WordPressが12件、Ovidentiaが4件、dotCMSとTequilaが3件、BigwareとOpenMRSが2件、ECommerceMajor、PHP Utility Belt、Zen Cart、Zenphoto、ArticleSetup、SIMOGEO FileManager、PFSense、iy10 Dizin Scripti、Beezfud、bitrix.xscan Bitrix module、bitrix.mpbuilder Bitrix moduleが各1件であった。

12月の結果を受け、ペンタセキュリティではLFI攻撃に対して言及している。LFI攻撃は、実行難易度が低いものから高いものまでさまざまなものが見つかったが、すべて危険度が高かった。

その中でも、特定のアプリケーションのパラメータキーを狙うLFI攻撃に対して注意を促している。脆弱性を含むソフトウェアの利用者は、速やかにセキュリティパッチを適用する必要がある。そのほか、"../"と同じ文字列をフィルターしたり、エラーページ公開を禁じたりするといったことも有効だとしている。

最も攻撃が多かったWordpressについては、使用者が多く、Pluginも多様に提供されているため、ハッカーの主な攻撃対象となっていることを危惧している。脆弱性が発見されたPluginを使っている場合は、WordPress本体と同様にアップデートで最新の状態を維持する必要があるとしている。