写真提供:マイナビニュース

写真拡大

ペンタセキュリティシステムズは11月20日、Webアプリケーションへの脆弱性および脆弱性攻撃をまとめた月例レポート「EDR-Report」の10月版を公開した。

これによると、Webアプリケーションを狙った脆弱性攻撃の10月の件数は23件で、9月より9件減少したという。内訳は、SQLインジェクションが最も多く、15件と半分以上を占めた。そのほかは、クロスサイト スクリプティングが3件、ローカルファイル挿入が2件、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロードが各1件だった。

さらに、各攻撃を危険度別に分類しているが、最も危険度が高い「早急対応要」が8件(35%)、次に高い「高」が15件(65%)と、10月は危険度の高い攻撃のみの検出となった。

万が一「早急対応要」の攻撃を受けた場合、Webアプリを経由して端末のシステムに侵入される恐れがある。「高」の場合は、システム情報を取得されるか、クライアントに2次被害を与える恐れがある。

攻撃の危険度が高まっていることに加えて、攻撃を容易にする攻撃ツールの開発が進み、攻撃者にとって有利な環境が整いつつある。EDB-Reportは、見つかった攻撃を実行の難易度ごとに分類しており、最も攻撃が難しい「難」が7件(30%)、次に難しい「中」が7件(30%)、最も簡単な「易」が9件(39%)であった。

攻撃を受けたソフトウェア別の件数は、Joomlaが9件、Pliggが4件、RealtyScriptが2件、ManageEngine、ElasticSearch、Kerio、JIRA、PHP-Fusion、Oxwall、Zope、Dreamが各1件であった。

今回のレポートの結果を受けて、ペンタセキュリティは「10月はSQLインジェクション攻撃に関する脆弱性が非常に多く、その中でも世界中で利用されているCMSのJoomlaでSQLインジェクション攻撃が多いことがわかった。Joomlaはコンポーネントに対して当該脆弱性が数多く見つかっており、セキュリティパッチを適用すべき」と呼びかけた。

また、CMSのPliggは、特定パラメータキーの配列を操作して攻撃に成功するといった、通常とは異なるタイプのSQLインジェクション攻撃が見つかった。脆弱性の発見されたページが管理者ページと見られており、関連セキュリティパッチが出るまで当該ソースコードの迅速な対応が必要だとしている。