毎月同社のR&DセンターがWebアプリケーションの脆弱性情報を分析・解説
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は11月11日、Webアプリケーションの脆弱性情報を同社のR&Dセンターが分析・作成した月間レポートである「Webアプリケーション脅威解析報告書9月号」を公開しました。
ペンタセキュリティでは、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報を同社のR&Dセンターのデータセキュリティチームの分析により、最近のWeb脆弱性トレンドを一般の大衆も解かりやすく解析した「Webアプリケーション脅威解析報告書(以下、EDBレポート)」を毎月発刊しています。
2016年9月号のレポートによると、確認された攻撃件数は全部で36件。内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の26件が最多。SQL インジェクション(SQL Injection)が7件、ディレクトリトラバーサル(Directory Traversal)、リモートファイル挿入(Remote File Inclusion:RFI)、ローカルファイル挿入(Local File Inclusion:LFI)が各1件報告されています。
危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が2件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が34件でした。
攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が2件、攻撃自体は難しくないが迂回コードを利用する「中」が1件、1回のリクエストなどで攻撃が実行できる「易」が33件でした。
攻撃対象となったソフトウェアごとの件数は、PHPIPAMが23件、Kajonaが3件、Jobberbase、Joomla が2件、Wordpress、Matrimonial Website Script、Exponent CMS、Zabbix、AnoBBS、CumulusClipsが各1件でした。
同レポートではサマリーとして、8月に続いて9月もクロスサイトスクリプティング攻撃による脆弱性の報告数が多かったことを指摘。発見されたクロスサイトスクリプティング攻撃のほとんどは、オープンソースIP管理システムであるPHPIPAMから発見され、パラメータ値を変えてスクリプトを挿入する単純な攻撃がほとんどであったとしています。
また今月はExponent CMSから特異なSQL Injection脆弱性が発見されました。多くのSQL Injection攻撃はパラメータ値を狙うようになってきているが、今回発見された脆弱性は一般的なパラメータキーや値の構造ではなく、URL経路に対して攻撃するパターンだったとしています。これはサイトの構造によって攻撃が成功してしまうため、関連する攻撃コードを参考にして脆弱性が露呈しないよう注意する必要があるとレポートでは呼びかけています。
※本記事の内容は、ペンタセキュリティの9月EDBレポートを基にしてマイナビ―編集部から作成したものです。
※同レポートの全文は、ペンタセキュリティのウェブサイト(http://www.pentasecurity.co.jp/wp/?page_id=3896)からダウンロードできます。
本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201
