ペンタセキュリティが10月のウェブ攻撃動向および脆弱性ついて解説
[16/12/08]
提供元:DreamNews
提供元:DreamNews
毎月同社のR&DセンターがWebアプリケーションの脆弱性情報を分析・解説
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は12月8日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書10月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年10月号のレポートによると、確認された攻撃件数は全部で48件。内訳としては、SQL インジェクション(SQL Injection)の23件が最多。クロスサイトスクリプティング(Cross Site Scripting:XSS)が21件、ローカルファイル挿入(Local File Inclusion:LFI)が2件、リモートコマンド インジェクション(Remote Command Execution)とファイルアップロード(File Upload)が各1件報告されています。
また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が5件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が43件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が4件、攻撃自体は難しくないが迂回コードを利用する「中」が9件、1回のリクエストなどで攻撃が実行できる「易」が35件でした。
攻撃対象となったソフトウェアごとの件数は、InfraPower PPS-02-S Q213V1が4件、PHP Image Database、PHP Business Directory、PHP Telephone Directory、Simple Blog PHP、Just Dial Clone、Zenbershipが各2件となっています。PHP Classifieds Rental Script、Simple Dynamic Web、Picosafe、Entrepreneur Job Portal Script、Thatware、Event Calendar PHP、PHP Press Release、Fashion Shopping Cart、School Full CBT、FreePBX、Simple Shopping Cart Application、Health Record System、Witbe、ApPHP MicroBlog、Categorizator、JonhCMS、Classifieds Rental Script、ApPHP MicroCMS、S9Y Serendipity、Just Dial Clone Script、CNDSOFT、Learning Management System、Simple Forum PHP、XhP CMS、Student Information System、Advance MLM Script、Web Based Alumni Tracking System、OpenCimetiere、Colorful Blog、B2B Portal Script、miniblog、MLM Unilevel Plan Scriptが各1件でした。
同レポートではサマリーとして、クロスサイトスクリプティング攻撃が最多であった8月、9月とは異なり、10月はSQLインジェクション攻撃による脆弱性の報告数が多かったことを指摘。SQLインジェクション攻撃は、難易度が低い攻撃であったとしても、その脆弱性を悪用して多様な攻撃が可能となるため、非常に高い危険度を持っている攻撃に属しているとしています。SQLインジェクションにさらされないためには、入力値の検証を厳密に実施するセキュアコーディングが必須であると述べています。
また10月での主なソフトウェアの脆弱性発生状況としては、CMSからPHPスクリプトまで多様なソフトウェアから脆弱性が発見されています。ペンタセキュリティは、脆弱性が発見されたソフトウェアを使用する管理者は該当脆弱性の内容を必ず確認し、関連アップデートを実施して脆弱性にさらされないように注意するよう勧告しています。
※本記事の内容は、ペンタセキュリティの9月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(https://www.pentasecurity.co.jp/)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は12月8日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書10月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年10月号のレポートによると、確認された攻撃件数は全部で48件。内訳としては、SQL インジェクション(SQL Injection)の23件が最多。クロスサイトスクリプティング(Cross Site Scripting:XSS)が21件、ローカルファイル挿入(Local File Inclusion:LFI)が2件、リモートコマンド インジェクション(Remote Command Execution)とファイルアップロード(File Upload)が各1件報告されています。
また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が5件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が43件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が4件、攻撃自体は難しくないが迂回コードを利用する「中」が9件、1回のリクエストなどで攻撃が実行できる「易」が35件でした。
攻撃対象となったソフトウェアごとの件数は、InfraPower PPS-02-S Q213V1が4件、PHP Image Database、PHP Business Directory、PHP Telephone Directory、Simple Blog PHP、Just Dial Clone、Zenbershipが各2件となっています。PHP Classifieds Rental Script、Simple Dynamic Web、Picosafe、Entrepreneur Job Portal Script、Thatware、Event Calendar PHP、PHP Press Release、Fashion Shopping Cart、School Full CBT、FreePBX、Simple Shopping Cart Application、Health Record System、Witbe、ApPHP MicroBlog、Categorizator、JonhCMS、Classifieds Rental Script、ApPHP MicroCMS、S9Y Serendipity、Just Dial Clone Script、CNDSOFT、Learning Management System、Simple Forum PHP、XhP CMS、Student Information System、Advance MLM Script、Web Based Alumni Tracking System、OpenCimetiere、Colorful Blog、B2B Portal Script、miniblog、MLM Unilevel Plan Scriptが各1件でした。
同レポートではサマリーとして、クロスサイトスクリプティング攻撃が最多であった8月、9月とは異なり、10月はSQLインジェクション攻撃による脆弱性の報告数が多かったことを指摘。SQLインジェクション攻撃は、難易度が低い攻撃であったとしても、その脆弱性を悪用して多様な攻撃が可能となるため、非常に高い危険度を持っている攻撃に属しているとしています。SQLインジェクションにさらされないためには、入力値の検証を厳密に実施するセキュアコーディングが必須であると述べています。
また10月での主なソフトウェアの脆弱性発生状況としては、CMSからPHPスクリプトまで多様なソフトウェアから脆弱性が発見されています。ペンタセキュリティは、脆弱性が発見されたソフトウェアを使用する管理者は該当脆弱性の内容を必ず確認し、関連アップデートを実施して脆弱性にさらされないように注意するよう勧告しています。
※本記事の内容は、ペンタセキュリティの9月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(https://www.pentasecurity.co.jp/)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201