ペンタセキュリティシステムズ(ペンタセキュリティ)は4月25日、Webアプリケーションの脆弱性情報をまとめたトレンドレポート「EDB-Report(3月)」を公開した。
「EDB-Report」は、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報より、同社のR&Dセンターが分析・作成する月例レポート。
今回のレポートによると、2016年3月に確認された攻撃件数は全部で33件。攻撃別の内訳では、ローカルファイル挿入(Local File Inclusion : LFI)が13件と最も多かった。そのほか、クロスサイトスクリプティング(Cross Site Scripting : XSS)が10件、RFIリモートファイル挿入(Remote File Inclusion : RFI)とSQLインジェクション(SQL Injection)が4件、ファイルアップロード(File Upload)とコード・インジェクション(Code Injection)が1件であった。
独自評価による危険度別の分類は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が6件。2番目に危険度が高く、攻撃を受けた場合にシステム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が27件であった。危険度が最も低い「中」は確認されなかった。
攻撃実行の難易度別では、高度な攻撃コードを利用する「難」と、攻撃自体は難しくないが迂回コードを利用する「中」が各3件、1回のリクエストなどで攻撃が実行できる「易」が27件であった。
攻撃対象となったソフトウェア別では、広く使われているオープンソースのCMS(Content Management System)であるWordPressが20件と大半を占めた。そのほか、PivotX、TeamPass、ProjectSend、CubeCartが各2件、Liferay Portal、iTop、Zenphoto、Joomla、Monstraが各1件であった。
分析の結果を受け、同社はLocal File Inclusion攻撃が最も多かった点を指摘した。攻撃の予防策は、ソースコードを安全なものに修正することであるが、大規模なWebサイトの場合、該当サーバーのすべての入力値の検証が困難であるため、Webアプリケーションファイアウォール(Web Application Firewall : WAF)の導入を推奨している。
また、WordPressが攻撃対象として最も多かった点についても触れ、WordPress本体の脆弱性ではなく、新たに提供されたプラグインの脆弱性を狙った攻撃であったと明かした。同社はWordPressを使用する管理者に対し、使用中のプラグインについては最新のパッチをインストールするよう呼び掛けている。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供: