SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

SNSでのつぶやきと攻撃に相関関係【Imperva 脆弱性に関する調査】

 Impervaは、2020年に発見された脆弱性の件数が減少傾向にあったことを発表した。

 同社の最新の脅威インテリジェンスレポート「The State of Vulnerabilities in 2020」によると、2020年に新たに発見された脆弱性の合計数は2万3,006件と、2019年の2万3,485件に比べて2.04%減、2018年の2万3,207件に比べて0.86%減となった。

図1:各年に発見された脆弱性の数
図1:各年に発見された脆弱性の数
[画像クリックで拡大]

 ウェブアプリケーションの脆弱性の原因として最も多かったのは、クロスサイト・スクリプティング(XSS)、2番目に多かったのはインジェクションだという。またレポ―トでは、インジェクションの大部分はSQLインジェクションに関連していたと指摘されている。脆弱性の根本原因としてXSSが最も多かった一方で、2020年にImpervaが実際に観測した攻撃は、インジェクション関連が圧倒的に多いという結果になったという。

 具体的には、XSS関連が15.68%、インジェクション関連が44.75%と、インジェクション脆弱性を狙った攻撃が犯罪者の間で「人気」だったことがわかる。インジェクション脆弱性の次に多かった攻撃は、パストラバーサルとローカルファイルインクルード(LFI)の攻撃で、全体の24.83%を占めている。

図2:脆弱性のカテゴリーの内訳
図2:脆弱性のカテゴリーの内訳
[画像クリックで拡大]

 こうした調査結果はSNSにも反映されており、攻撃に関して話題を集めたツイートトップ20の75%がインジェクションとリモートコード実行に関するものだとしている。Impervaの調査によると、SNSでのつぶやきと攻撃には高い相関関係が見られ、SNSで最もトレンド入りした脆弱性「CVE-2020-5902」および「CVE-2020-3452」は、ハッカーが2020年に最も悪用した脆弱性でもあったという。

 APIの脆弱性は2020年も引き続き増加しており、コンテンツ管理システムでは、WordPressが最も標的となっているプラットフォームとなった。サーバー側では、NodeJS向けのJavaScriptで記述されたアプリケーションやパッケージの脆弱性の増加が観察されている。

図3:コンテンツ管理システムの脆弱性
図3:コンテンツ管理システムの脆弱性
[画像クリックで拡大]

 さらに、2020年に発見された新たな脆弱性の92.4%に未知のエクスプロイトが含まれており、一般的なデータベースのなかではMySQLが最も多いことが判明しているという。MySQLを買収したOracleが技術的な詳細をセキュリティレポートとして共有していないことが理由として考えられるとしている。バグバウンティの脆弱性分析によると、脆弱性の約40%は「クリティカル」とランクされている。

図4:データベースの脆弱性
図4:データベースの脆弱性
[画像クリックで拡大]

2021年の脆弱性とサイバー攻撃動向の予測

 Impervaは、アプリケーションの必須要素となっているAPIの脆弱性は一貫して増加するものの、増加率は落ち着くと予想している。また、コードの確認を通じて脆弱性を探すツールも認識が高まり、採用が拡大している一方で、旧来のインジェクションやXSSの脆弱性は今後も深刻な問題であり続けるとしている。

 主要なプラットフォームやフレームワークの間で、サードパーティ製プラグインへの依存度がさらに高まる中、サードパーティに関連した脆弱性の件数は、今後も増加すると考えられるという。こうした脆弱性は、様々なサプライチェーン攻撃の入り口になるとしている。WordPressには5万8,000以上のプラグイン、NPMレジストリには約150万のNodeJS向けパッケージ、PyPIには28万以上のPython向けパッケージが採用されている。

 加えて、JavaやRubyベースのプロジェクト向けの、メインパッケージのレジストリも存在する。そのためコミュニティが拡大の一途をたどる中、プラグインやパッケージを公開する際のコードに基準や規制を設けなければ、アプリケーションの脆弱性は今後も、攻撃者にとって魅力的な標的となり続けるという。

【関連記事】
ネットワークバリューコンポネンツ、Imperva社のクラウドWAF「Incapsula」に対する運用支援サービスを提供開始
米Imperva、ビッグデータ対応を強化したデータセキュリティソリューションの最新版
Imperva、AWS Marketplaceに従量課金制WAFを提供

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/14111 2021/03/17 15:09

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング