【情報】 最新Web脆弱性トレンドレポートのEDB-Report(2019年第4四半期)がリリースされました。
2019年10月から12月まで公開されたExploit-DBの脆弱性報告件数は134件でした。公開された脆弱性の分析内容は、以下のどおりです。
1. Web脆弱性の発生件数:2019年第4四半期のWeb脆弱性は平均44件で、11月には60件が報告され最も多かったです。
2. CVSS(Common Vulnerability Scoring System)* 推移:毎月HIGH Levelの脆弱性が10月の22.50%から12月35.29%まで増加傾向にあり、MEDIUM Level脆弱性は72.50%から61.76%まで減少しました。
3. 上位5つのWeb脆弱性の攻撃動向:2019年第4四半期を見ると2019年第3四半期と違って、Code ExecutionとCross Site Scriptingが主な脆弱性として観察されました。
1)10月: Code Execution 17.50%(7件) / Cross Site Scripting 25.00%(10件) / CSRF 7.50%(3件)
2)11月: Code Execution 23.33%(14件) / Cross Site Scripting 21.67%(13件) / CSRF 10.00%(6件)
3)12月: Code Execution 29.41%(10件) / Cross Site Scripting 20.59%(7件) / CSRF 14.71%(5件)
4. Web脆弱性の攻撃カテゴリ:Code Executionが23.13%(31件)で最も多く発生しており、その次にはCross Site Scriptingが22.39%(30件)で、二番目に多く発生しました。この2つの脆弱性が第4四半期に発生したWeb脆弱性の約半分(46%)を占めており、これに対する備えが必要となります。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。