【情報】 最新Web脆弱性トレンドレポートのEDB-Report(2019年第2四半期)がリリースされました。
2019年4月から6月まで公開されたExploit-DBの最弱性報告件数は135件でした。公開された脆弱性の分析内容は、以下のどおりです。
1. Web脆弱性の発生件数:2019年第2四半期のWeb脆弱性は4月に報告された53件に比べ、6月には36件になり、減少傾向を見せました。
2. CVSS(Common Vulnerability Scoreing System)* 推移:毎月HIGH Levelの脆弱性が15%以上を占めており、MEDIUM Levelの脆弱性が60%以上を占めました。
3. 上位6つのWeb脆弱性の攻撃動向:2019年第2四半期の結果を見ると、主な脆弱性としてCross Site ScriptingとSQL Injectionが観察されました。
1)4月:SQL Injection 23%(12件)/Cross Site Scripting 18%(10件)/CSRF 16%(9件)
2)5月:Cross Site Scripting 28%(13件)/SQL Injection 24%(11件)/Code Injection 17%(8件)
3)6月:Cross Site Scripting 31%(11件)/SQL Injection 17%(6件)/Directory Traversal 14%(5件)
Web脆弱性の攻撃カテゴリ:Cross Site Scriptingが25%(34件)で最も多く発生しており、その次にはSQL Injectionが21%(29件)で、二番目に多く発生しました。この2つの脆弱性が第2四半期に発生したWeb脆弱性の約半分(47%)を占めており、これに対する備えが必要となります。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。