ペンタセキュリティシステムズは2月22日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2016年1月版を公開した。

同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもの。2016年1月のレポートによると、1月に見つかったWebアプリケーションを狙った脆弱性攻撃は全部で28件で、前回調査の2015年12月より9件減少した。

1月で最も多かった攻撃はSQLインジェクションで15件、そのほかCross Site Scripting(XSS)が8件、Remote File Inclusion(RFI)が2件、Codeインジェクション、Commandインジェクション、Local File Inclusion(LFI)が各1件となる。

同社独自の基準で攻撃を受けた場合の危険度別に分類しており、今回は最も危険度が高い「早急対応要」が7件(25%)、次に危険度が高い「高」が21件(75%)であった。

攻撃実行の難易度別は、最も高度なスキルが必要で、攻撃に時間がかかる「難」が2件(7%)、次に難しい「中」が4件(14%)、最も攻撃実行が簡単な「易」が22件(79%)であった。

脆弱性があったWebアプリケーションは、Open Audit、ProjectSend、Simple PHP Polling Systemが各4件、Wordpressが3件、BK Mobile CMS、Advanced Electron Forum、PHPIPAM、Ramui webblog、SevOne、mcartが各2件、SeaWell Networksが1件となった。

レポートのサマリーでは、SQLインジェクション攻撃とコードインジェクション攻撃について触れている。今回のSQLインジェクション攻撃は、成功可否を問うクエリーを使用する難易度の低いものが大半であったが、一方で危険度が高かった。

SQLインジェクションの標的となったWebアプリケーションは、対象モジュールおよびプラグインに入力値検証をさらに厳しくするセキュリティパッチとセキュアコーディングを施す必要があるとしている。

コードインジェクション攻撃は、周期的に確認されている。PHP Codeインジェクションは、SQLインジェクションやCommandインジェクションと比べると危険度が低いが、多くのWebサイトがPHPで構成されているため、膨大な数のWebサイトが今後も標的とされる恐れがある。

同社は、PHPで構成されているWebサイトを使う場合、コードインジェクションに注意を払い、PHP コードインジェクションもユーザの入力値を厳しく検証し、悪意のあるコードが実行されても防げるよう注意を呼び掛けた。