EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

SNSでのつぶやきと攻撃に相関関係【Imperva 脆弱性に関する調査】

  2021/03/17 15:09

 Impervaは、2020年に発見された脆弱性の件数が減少傾向にあったことを発表した。

 同社の最新の脅威インテリジェンスレポート「The State of Vulnerabilities in 2020」によると、2020年に新たに発見された脆弱性の合計数は2万3,006件と、2019年の2万3,485件に比べて2.04%減、2018年の2万3,207件に比べて0.86%減となった。

図1:各年に発見された脆弱性の数
図1:各年に発見された脆弱性の数
[画像クリックで拡大]

 ウェブアプリケーションの脆弱性の原因として最も多かったのは、クロスサイト・スクリプティング(XSS)、2番目に多かったのはインジェクションだという。またレポ―トでは、インジェクションの大部分はSQLインジェクションに関連していたと指摘されている。脆弱性の根本原因としてXSSが最も多かった一方で、2020年にImpervaが実際に観測した攻撃は、インジェクション関連が圧倒的に多いという結果になったという。

 具体的には、XSS関連が15.68%、インジェクション関連が44.75%と、インジェクション脆弱性を狙った攻撃が犯罪者の間で「人気」だったことがわかる。インジェクション脆弱性の次に多かった攻撃は、パストラバーサルとローカルファイルインクルード(LFI)の攻撃で、全体の24.83%を占めている。

図2:脆弱性のカテゴリーの内訳
図2:脆弱性のカテゴリーの内訳
[画像クリックで拡大]

 こうした調査結果はSNSにも反映されており、攻撃に関して話題を集めたツイートトップ20の75%がインジェクションとリモートコード実行に関するものだとしている。Impervaの調査によると、SNSでのつぶやきと攻撃には高い相関関係が見られ、SNSで最もトレンド入りした脆弱性「CVE-2020-5902」および「CVE-2020-3452」は、ハッカーが2020年に最も悪用した脆弱性でもあったという。

 APIの脆弱性は2020年も引き続き増加しており、コンテンツ管理システムでは、WordPressが最も標的となっているプラットフォームとなった。サーバー側では、NodeJS向けのJavaScriptで記述されたアプリケーションやパッケージの脆弱性の増加が観察されている。

図3:コンテンツ管理システムの脆弱性
図3:コンテンツ管理システムの脆弱性
[画像クリックで拡大]

 さらに、2020年に発見された新たな脆弱性の92.4%に未知のエクスプロイトが含まれており、一般的なデータベースのなかではMySQLが最も多いことが判明しているという。MySQLを買収したOracleが技術的な詳細をセキュリティレポートとして共有していないことが理由として考えられるとしている。バグバウンティの脆弱性分析によると、脆弱性の約40%は「クリティカル」とランクされている。

図4:データベースの脆弱性
図4:データベースの脆弱性
[画像クリックで拡大]

2021年の脆弱性とサイバー攻撃動向の予測

 Impervaは、アプリケーションの必須要素となっているAPIの脆弱性は一貫して増加するものの、増加率は落ち着くと予想している。また、コードの確認を通じて脆弱性を探すツールも認識が高まり、採用が拡大している一方で、旧来のインジェクションやXSSの脆弱性は今後も深刻な問題であり続けるとしている。

 主要なプラットフォームやフレームワークの間で、サードパーティ製プラグインへの依存度がさらに高まる中、サードパーティに関連した脆弱性の件数は、今後も増加すると考えられるという。こうした脆弱性は、様々なサプライチェーン攻撃の入り口になるとしている。WordPressには5万8,000以上のプラグイン、NPMレジストリには約150万のNodeJS向けパッケージ、PyPIには28万以上のPython向けパッケージが採用されている。

 加えて、JavaやRubyベースのプロジェクト向けの、メインパッケージのレジストリも存在する。そのためコミュニティが拡大の一途をたどる中、プラグインやパッケージを公開する際のコードに基準や規制を設けなければ、アプリケーションの脆弱性は今後も、攻撃者にとって魅力的な標的となり続けるという。

【関連記事】
ネットワークバリューコンポネンツ、Imperva社のクラウドWAF「Incapsula」に対する運用支援サービスを提供開始
米Imperva、ビッグデータ対応を強化したデータセキュリティソリューションの最新版
Imperva、AWS Marketplaceに従量課金制WAFを提供

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5