ペンタセキュリティ、Webアプリケーション脅威解析報告書を通じてウェブ攻撃動向を解説
- 2016年10月13日 11:00:00
- マネー
- Dream News
毎月同社のR&DセンターがWebアプリケーションの脆弱性情報を分析・解説
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月13日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書8月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年8月号のレポートによると、確認された攻撃件数は全部で36件。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の12件が最多。SQL インジェクション(SQL Injection)が10件、コマンド インジェクション(Command Injection)が5件、ローカルファイル挿入(Local File Inclusion:LFI)が4件、ディレクトリトラバーサル(Directory Traversal)とリモートコマンド実行(Remote Command Execution)が各2件、ファイルアップロード(File Upload)が1件報告されています。
また危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が3件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が33件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が3件、攻撃自体は難しくないが迂回コードを利用する「中」が12件、1回のリクエストなどで攻撃が実行できる「易」が32件でした。
攻撃対象となったWebアプリケーションごとの件数は、WSO2 Carbonが最多の7件、Nagios Network AnalyzerとWordpressが5件、Sakaiが4件、Nagios Incident Manager、NUUO NVRmini、FreePBXが2件、Navis WebAccess、Nagios Log Server、PHP Power Browse、chatNow、phpCollab CMS、Davolink、Subrion CMS、ZabbixおよびWebNMS Framework Serverが各1件でした。
同レポートによると、報告件数が最も多かったクロスサイトスクリプティングについて、8月に見られた攻撃は単にスクリプトを使用したり、イメージタグを使用するなど、攻撃難易度や危険度の側面ではレベルの高い攻撃パターンではなかったことが分かりました。
しかし、クロスサイトスクリプティングの攻撃は、スクリプトおよび特定タグが実行されると脆弱な部分に多様なコードが挿入できるものであるため、スクリプトおよびタグなどの実行自体ができないようにする必要があります。そのため、脆弱性が発見された該当ソフトウェアを使用する管理者はそのスクリプトおよびイメージタグが実行されるかを確認した後、必ずセキュアコーディングおよびアップデートを行うことが必要だと提言しました。
また、クロスサイトスクリプティング以外の脆弱性としては、Linux Bashの脆弱性として知られるShellShockが発見されたという。Linux Bash攻撃パターンは主にHTTP Headerに入り、CGIが実行される際に任意の命令語を実行するというもの。2014年に初めて発見されたShellShockの脆弱性は、OpenSSLの脆弱性であるHeartBleed脆弱性以上に波及力が大きな脆弱性だったが、現在はBash Updateを最新に実施することで解決することができるとしています。また。古いバージョンのLinuxを使用している管理者に対しても、規模の大きいセキュリティ事故とならないよう、セキュリティアップデートを実施するようコラムではアドバイスを送っています。
※本記事の内容は、ペンタセキュリティの8月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(http://www.pentasecurity.co.jp/wp/?page_id=3896)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201
パリ五輪、男子柔道60kg級の永山竜樹選手の大誤審、何が問題だったのか柔道指導者に伺いました
明石家さんま、かすれ声の原因明かす 「長期休まなあかん」不安乗り越えた?
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【サッカー】男子スペインが2連勝で準々決勝進出一番乗り 日本と対戦可能性も
夏にスキーなんて楽しすぎるかも!東京から2時間で行ける山梨県のスキー場で、風を浴びながらサマーゲレンデを滑走してみたい!
猫に『お化けいるの?』と質問したら…『心霊現象が多発する部屋』が怖すぎると11万再生「オーブがすごい」「ガタガタ音w」の声
明石家さんま、27時間テレビかすれ声 引き金は車内での歌熱唱だった
「地獄の果てまで行ってQ」平本蓮、『超RIZIN.3』を前にバキバキに仕上がった体を披露
【7月28日生まれの著名人】セルジオ越後氏、スガシカオ、徳重聡、フォーリンラブ・ハジメら
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
マツコの知らない世界、ナレーターの玄田哲章さんお休みで心配の声が広がる
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
吉田沙保里、大久保嘉人との不倫疑惑を一蹴するも冷ややかな声
アイドル兼セクシー女優、元おニャン子クラブの母親と父親の“禁断”の関係明かす
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
美人40歳フリーアナ「プロポーズ何回された?」さんまツッコミに仰天告白「真剣だったかは…」
鎧塚俊彦氏、ビートたけしの石丸伸二氏への言葉に「ずばり的を射ている」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
「輸入」の正しい読み方は「しゅにゅう」?読み方が間違ったまま定着した漢字12選
マツコの知らない世界、ナレーターの玄田哲章さんお休みで心配の声が広がる
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
パリ五輪、男子柔道60kg級の永山竜樹選手の大誤審、何が問題だったのか柔道指導者に伺いました
明石家さんま、かすれ声の原因明かす 「長期休まなあかん」不安乗り越えた?
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【サッカー】男子スペインが2連勝で準々決勝進出一番乗り 日本と対戦可能性も
夏にスキーなんて楽しすぎるかも!東京から2時間で行ける山梨県のスキー場で、風を浴びながらサマーゲレンデを滑走してみたい!
猫に『お化けいるの?』と質問したら…『心霊現象が多発する部屋』が怖すぎると11万再生「オーブがすごい」「ガタガタ音w」の声
明石家さんま、27時間テレビかすれ声 引き金は車内での歌熱唱だった
「地獄の果てまで行ってQ」平本蓮、『超RIZIN.3』を前にバキバキに仕上がった体を披露
【7月28日生まれの著名人】セルジオ越後氏、スガシカオ、徳重聡、フォーリンラブ・ハジメら
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像