Impervaは、2020年に発見された脆弱性の件数が減少傾向にあったことを発表した。
同社の最新の脅威インテリジェンスレポート「The State of Vulnerabilities in 2020」によると、2020年に新たに発見された脆弱性の合計数は2万3,006件と、2019年の2万3,485件に比べて2.04%減、2018年の2万3,207件に比べて0.86%減となった。
[画像クリックで拡大]
ウェブアプリケーションの脆弱性の原因として最も多かったのは、クロスサイト・スクリプティング(XSS)、2番目に多かったのはインジェクションだという。またレポ―トでは、インジェクションの大部分はSQLインジェクションに関連していたと指摘されている。脆弱性の根本原因としてXSSが最も多かった一方で、2020年にImpervaが実際に観測した攻撃は、インジェクション関連が圧倒的に多いという結果になったという。
具体的には、XSS関連が15.68%、インジェクション関連が44.75%と、インジェクション脆弱性を狙った攻撃が犯罪者の間で「人気」だったことがわかる。インジェクション脆弱性の次に多かった攻撃は、パストラバーサルとローカルファイルインクルード(LFI)の攻撃で、全体の24.83%を占めている。
[画像クリックで拡大]
こうした調査結果はSNSにも反映されており、攻撃に関して話題を集めたツイートトップ20の75%がインジェクションとリモートコード実行に関するものだとしている。Impervaの調査によると、SNSでのつぶやきと攻撃には高い相関関係が見られ、SNSで最もトレンド入りした脆弱性「CVE-2020-5902」および「CVE-2020-3452」は、ハッカーが2020年に最も悪用した脆弱性でもあったという。
APIの脆弱性は2020年も引き続き増加しており、コンテンツ管理システムでは、WordPressが最も標的となっているプラットフォームとなった。サーバー側では、NodeJS向けのJavaScriptで記述されたアプリケーションやパッケージの脆弱性の増加が観察されている。
[画像クリックで拡大]
さらに、2020年に発見された新たな脆弱性の92.4%に未知のエクスプロイトが含まれており、一般的なデータベースのなかではMySQLが最も多いことが判明しているという。MySQLを買収したOracleが技術的な詳細をセキュリティレポートとして共有していないことが理由として考えられるとしている。バグバウンティの脆弱性分析によると、脆弱性の約40%は「クリティカル」とランクされている。
[画像クリックで拡大]
2021年の脆弱性とサイバー攻撃動向の予測
Impervaは、アプリケーションの必須要素となっているAPIの脆弱性は一貫して増加するものの、増加率は落ち着くと予想している。また、コードの確認を通じて脆弱性を探すツールも認識が高まり、採用が拡大している一方で、旧来のインジェクションやXSSの脆弱性は今後も深刻な問題であり続けるとしている。
主要なプラットフォームやフレームワークの間で、サードパーティ製プラグインへの依存度がさらに高まる中、サードパーティに関連した脆弱性の件数は、今後も増加すると考えられるという。こうした脆弱性は、様々なサプライチェーン攻撃の入り口になるとしている。WordPressには5万8,000以上のプラグイン、NPMレジストリには約150万のNodeJS向けパッケージ、PyPIには28万以上のPython向けパッケージが採用されている。
加えて、JavaやRubyベースのプロジェクト向けの、メインパッケージのレジストリも存在する。そのためコミュニティが拡大の一途をたどる中、プラグインやパッケージを公開する際のコードに基準や規制を設けなければ、アプリケーションの脆弱性は今後も、攻撃者にとって魅力的な標的となり続けるという。
【関連記事】
・ネットワークバリューコンポネンツ、Imperva社のクラウドWAF「Incapsula」に対する運用支援サービスを提供開始
・米Imperva、ビッグデータ対応を強化したデータセキュリティソリューションの最新版
・Imperva、AWS Marketplaceに従量課金制WAFを提供
