写真提供:マイナビニュース

写真拡大

ペンタセキュリティシステムズは9月4日、定期レポート「EDB-Report」の2015年8月版を公開した。

これによると8月に見つかった「脆弱性別件数」の合計は38件で、件数ベースでは7月から横ばい。内訳はSQLインジェクションが16件、クロス サイト スクリプティングが11件、 ローカルファイル挿入が7件、ファイルアップロードが3件、コードインジェクションが1件だった。

「危険度別件数」は、最も危険度が高い「早急対応要」が9件(24%)。宋休対応要の攻撃を受けた場合、最悪システムへの侵入を許す恐れがある。2番めに危険度が高い「高」が29件(76%)で、システム情報を取得されるまたはクライアントに2次被害を及ぼすことがある。そのほか、今回は報告されていないが、情報漏洩する恐れがある「中」レベルがある。

「攻撃実行の難易度別件数」は、攻撃者の実行難易度ごとに攻撃手法を分類。8月は、最も実行しやすい「易」が26件(68%)と大半を占め、「中」が9件(24%)、「難」が3件(8%)となった。「易」は、1回のリクエストで攻撃が成立するパターン、既知の攻撃コードを採用したパターンなどの手法で、攻撃者側にとっては複雑な操作を求められず、簡単に対象を攻撃できる。逆に「難」は、複数の脆弱性を狙う必要があるパターンなど、高度な技術を求められる。

「主なソフトウエア別脆弱性発生件数」では、攻撃を受けたWebアプリケーションを件数別に集計。8月はWordPressが9件と最も多かった。そのほか、Netsweeperが4件、Pluckが4件、PHPfileNavigatorが3件、PhpWikiが3件、Joomlaが3件、Microweberが2件、BigTreeが2件、PHP News Scriptが1件、Nutsが1件、Gkpluginsが1件、WDS CMSが1件、Wolfが1件、up.timeが1件、CodoForumが1件、Aruba Mobility Controllerが1件となった。

今回の結果を受け、ペンタセキュリティでは、SQLインジェクション攻撃に関する脆弱性が最も多く報告した点に注目。今回の攻撃は、主に特定Webアプリケーションのアーキテクチャー上の問題で見つかる脆弱性を悪用するものがほとんどであり、攻撃を簡単に実行できるという。

SQLインジェクションは性質上、攻撃が成功したら次に2次攻撃をするが、それによりシステムの重要な情報や個人情報が漏洩する可能性があるため、危険度が高い。ログインページ、掲示板など、頻繁にアクセスされるページが単純なクエリーによって攻撃にさらされないよう注意を呼び掛けた。

主要ソフトウェア別の脆弱性発生の状況を見ると、WordPressでの脆弱性が最も多く見つっかった。WordPressを利用する企業の管理者は、Webサイトのプラグインを再チェックし、万一脆弱性のあるプラグインが見つかった場合は、最新バージョンにアップデートしてほしいとした。