ペンタセキュリティシステムズ(ペンタセキュリティ)が毎月発行する「EDB-Report」。これは脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報から、同社のR&Dセンターが分析・作成している月例レポートである。

同レポートの最新版である「EDB-Report 6月号」によると、2016年6月に確認された攻撃件数は全49件で、上半期の中で最も多くの脆弱性が報告されている。内訳としては、SQL インジェクション(SQL Injection)の17件が最多。クロスサイトスクリプティング(Cross Site Scripting:XSS)が13件、コード・インジェクション(Code Injection)、ディレクトリトラバーサル(Directory Traversal) 、ローカルファイル挿入(Local File Inclusion:LFI)が各4件、ファイルアップロード(File Upload)、コマンド インジェクション(Command Injection)が各3件、リモートファイル挿入(Remote File Inclusion:RFI)が1件報告されている。

危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が5件、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が44件であった。

攻撃実行の難易度別の件数は、複数の脆弱性を突いた攻撃パターン、重要な情報を取得するために高度な攻撃コードを採用したパターン、未知の攻撃コードを採用したパターンのいずれかに該当する「難」が2件、攻撃手法自体は難しくないが迂回コードを利用する「中」が15件、1回のリクエストなどで攻撃が実行できる「易」が32件であった。

攻撃対象となったWebアプリケーションごとの件数は、Joomlaが5件、Wordpressが4件、Nagiosが3件、sNews CMS、AjaxExplorer、XuezhuLi FileSharing、FinderView、Kagao、Cisco EPC 3928、BookingWizzが2件、BigTree CMS、Notilus Travel Solution Software、SugarCRM、Drale DBTableViewer、Electroweb、Viart、MyLittleForum、jbFileManager、Airia、OPAC KpwinSQL、Relay Ajax Directory Manager、Concrete5、Alibaba Clone B2B Script、rConfig、iBilling、Ultrabenosaurus ChatBoard、Apache、Tiki-Wiki CMS、Liferay CE、Vicidial、Ktools、Dokeos、w2wikiが各1件であった。

同レポートではサマリーとして、6月は多くの脆弱性が見られたことと比例し、攻撃の種類も多様に報告された一方、新しい攻撃方法や攻撃パターンでの特異点は発見されなかったとしている。またSQL Injectionのほとんどは、攻撃の難易度や危険度が低い脆弱性であったものの、該当の攻撃パターンが成功し、脆弱性が発見されたプログラムは追加的な攻撃が入ってくる恐れがあるため、該当ページやパラメーターを確認の上、セキュアコーディングやソフトウェアのアップデートを必須で行うべきであると注意喚起を行っている。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: