Posts

EDB Report 2019-01

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(2019年第1四半期)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 2019年第1四半期バージョンをリリース

2019年第1四半期の最新Web脆弱性トレンド情報

2019年1月から3月まで公開されたExploit-DBの最弱性報告件数は、173件でした。 最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection) です。また、多数の脆弱性が公開されたソフトウェアは、Joomla Component, Netartmediaで、各12個、8個の脆弱性が公開されました。その中 で、Joomla Componentソフトウェアに修行された攻撃はSQLインジェクションで、この攻撃は最初は難易度が低くても、一度脆弱性が発見されると当脆弱性のパラメータに多様な SQLクエリを利用するSQLインジェクション攻撃を行う 可能性があるので、非常に危険度の高い攻撃です。 当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(1月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 1月号をリリース

1月の最新Web脆弱性トレンド情報

2018年01月に公開されたExploit-DBの脆弱性報告件数は、50件でした。この中で最も多い件数の脆弱性が公開された攻撃はSQL injection(SQLインジェクション)攻撃でした。特に、攻撃難易度と危険度が二つとも高い攻撃もSQL injection(SQLインジェクション)攻撃でした。攻撃難易度や危険度が高いレベルに該当されるSQL injection(SQLインジェクション)攻撃の中で”Advantech WebAccess < 8.3 – SQL Injection”脆弱性は、URL経路の中で攻撃コードが挿入される特異点がある脆弱性です。該当脆弱性を含めて、EDB解析レポートに公開された脆弱性に対して予防するためには最新パッチとセキュアコーディングをお薦めします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する考えなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(12月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 12月号をリリース

12月の最新Web脆弱性トレンド情報

2017年12月に公開されたExploit-DBの脆弱性報告件数は、総113件でした。11月に公開された脆弱性数(15件)と比べると大幅で(約7割以上)上昇しました。こういう上昇の原因はほとんどSQL injection(SQLインジェクション)攻撃の増加によります。また、12月に公開されたSQL injection(SQLインジェクション)攻撃の場合、完全に新しい方式ではなく、ほとんどが既に公開されていた方式と同一な脆弱性や攻撃パターンでした。SQL injection(SQLインジェクション)攻撃は、攻撃が成功する場合、大きな被害を起こらせるが、比較的に攻撃コストが低いため、多くの攻撃者らが発展させて悪用しています。こういう脆弱性を持続的に予防し、セキュリティ性を維持させるための効果的な対応方案としてウェブアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する考えなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

11月の最新Web脆弱性トレンド情報

2017年11月に公開されたExploit-DBの脆弱性報告件数は、総15件であり、10月に公開された脆弱性数(67件)と比べると77%ほど減少しました。今月非常に多くの脆弱性が公開された攻撃はクロスサイトスクリプティング(Cross Site Scripting)であり、この中で最も注目すべきの脆弱性は「KirbyCMS < 2.5.7 – Cross Site cripting脆弱性」です。当脆弱性は、ファイルアップロード(File Upload)攻撃と混合されています。悪性コードをsvgファイルにセーブした後、そのファイルをアップロードする方式です。当脆弱性を防ぐためには、最新パッチとセキュアコーディングを行うことをお薦めします。ですが、完全なるセキュアコーディングは不可能であり、持続的にセキュリテイ性を維持するためにはWebアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する必要があります。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(9月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 9月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

9月の最新Web脆弱性トレンド情報

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQLインジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLインジェクション脆弱性は、攻撃を実行し易い方だと分類されました。何故なら、この攻撃はオンライン検索を通じてダウンロードできる、攻撃ツールの使い方さえ知れば、誰にでも手軽に悪用できるからです。ですが、このような易い攻撃難易度持つ同時に、SQLインジェクションはその危険度が高すぎて、早急に対応が必要である攻撃に分類されました。幸いに、大部のSQLインジェクション攻撃は、Webアプリケーションファイアウォール通じて容易に対応できます。よって、持続的なセキュリティを維持するためには、Webアプリケーションファイアウォールとセキュアコディングを活用した、多層防御を具現しなければなりません。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(8月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 8月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

8月の最新Web脆弱性トレンド情報

2017年8月に公開されたExploit-DBの脆弱性報告件数は、総90件であり、その中でSQLインジェクションが70件で最も多い件数で発見されました。公開された70件のSQLインジェクション脆弱性の中で26件はJoomla CMSで発見されたものでした。したがって、Joomlaを使用しているユーザーは特に主要コンポーネントに対する最新パッチで脆弱性に対応する必要があります。その他にも、ほとんどの脆弱性は、ウェブアプリケーション攻撃から発生しています。よって、持続的なセキュリティを維持するためにはウェブアプリケーションファイアウォール(WAF)とセキュアコーディングを活用した深層防護(Defense indepth)を具現しなければなりません。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。