【情報】2020年第3四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

2020年第3四半期の最新Web脆弱性トレンド情報

2020年7月から9月まで公開されたExploit-DBの脆弱性報告件数は59件です。 公開された脆弱性の分析内容は、以下の通りです。

  1. Web脆弱性の発生件数: 2020年第3四半期のWeb脆弱性は平均20件で、7月には最も多い24件が報告されました。
  2. CVSS(Common Vulnerability Scoring System)* 推移: HIGH Levelの脆弱性は7月は4.17%、8月は18.75%で増加傾向にありましたが、9月には0.00%まで減少しました。MEDIUM Level脆弱性は79.17%から57.89%まで減少しました。
    *脆弱性を点数で表記するため、0から10まで加重値を付与し、計算する方式です。点数が高いほど、深刻度が高いです。
  3. 上位Web脆弱性の攻撃動向: 2020年第3四半期は前四半期に続き、Cross Site ScriptingとSQL Injectionが主な脆弱性として観察されました。
    1)7月: SQL Injection 29%(7件) / Authentication Bypass 20%(5件)
    2) 8月: SQL Injection 43%(7件) / Cross Site Scripting 18%(3件)
    3) 9月: Cross Site Scripting 42%(8件) / Other 31%(6件)
  4. Web脆弱性の攻撃カテゴリ: SQL Injectionが31%(18件)と最も多く発生しており、その次にはCross Site Scriptingが25%(15件)と続いています。この2つの脆弱性が第2四半期に発生したWeb脆弱性の約半分(56%)以上を占めており、これに対する備えが必要となります。

当脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づき、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

EDB/CVE-Reportは、Exploit-DBのWeb脆弱性項目をもとにペンタセキュリティが四半期ごとに提供しているトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB/CVE-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解されることができます。

 

EDB-Report ダウンロード