【情報】2020年第2四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

2020年第2四半期の最新Web脆弱性トレンド情報

2020年4月から6月まで公開されたExploit-DBの脆弱性報告件数は125件でした。 公開された脆弱性の分析内容は、以下の通りです。

  1. Web脆弱性の発生件数:2020年第2四半期のWeb脆弱性は平均41件で、5月には最も多い66件が報告されました。
  2.  CVSS(Common Vulnerability Scoring System)* 推移:HIGH Levelの脆弱性が4月の6.45%から6月0.00%まで減少傾向にあり、MEDIUM Level脆弱性は67.74%から75.00%まで増加しました。
    *脆弱性を点数で表記するため、0から10まで加重値を付与し、計算する方式です。点数が高いほど、深刻度が高いです。
  3. 上位Web脆弱性の攻撃動向:2020年第2四半期は前四半期に続き、SQL InjectionとCross Site Scriptingが主な脆弱性として観察されました。
    1) 4月: Cross Site Scripting 45%(14件) / SQL Injection 6%(2件)
    2) 5月: Cross Site Scripting 34%(23件) / SQL Injection 30%(20件)
    3) 6月: Cross Site Scripting 21%(6件) / SQL Injection 32%(9件)
  4. Web脆弱性の攻撃カテゴリ: Cross Site Scriptingが34.4%(43件)と最も多く発生しており、その次にはSQL Injectionが24.8%(28件)と続いています。この2つの脆弱性が第2四半期に発生したWeb脆弱性の約半分(59%)以上を占めており、これに対する備えが必要となります。

当脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づき、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

EDB/CVE-Reportは、Exploit-DBのWeb脆弱性項目をもとにペンタセキュリティが四半期ごとに提供しているトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB/CVE-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解されることができます。

 

EDB-Report ダウンロード