ソウル(韓国)2023年7月31日 /PRNewswire/ -- 情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、本社:韓国ソウル、以下ペンタセキュリティ)は2023年上半期のWATTレポート(Web Application Threat Trend Report)を公開しました。レポートでは、 アプライアンス型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」から収集した検知データをもとに、最新のサイバー攻撃動向を独自の視点で分析し、企業のセキュリティ対策に役立つ情報を提供しています。
WATTレポート全文は、こちらからダウンロードできます。
https://www.pentasecurity.co.jp/recent-attack-trend/
主な内容
▶3月はWeb攻撃の検出件数が急増
月別Web攻撃の増減推移を見ると、前期同様の水準の傾向が続いたものの、2月以降に急増し、3月にピークとなりました。その後徐々に減少していますが、依然として高い水準です。原因は、1月に報告されたサーバ管理用ツールControl Web Panel(CWP)で発生した脆弱性(CVE-2022-44877)とWordPressプラグインの脆弱性(CVE-2023-30777)によるものだとみられます。依然としてこの脆弱性を悪用した攻撃の被害が確認されているため、セキュリティ担当者の方には持続的なモニタリングとともにパッチを適用することをお勧めします。
▶ Web攻撃の4割が情報流出を狙い、「File Inclusion」と「SQL Injection」に注意
目的別攻撃動向を見ると、機密情報などを盗み出すことを目的とした攻撃が全体Web攻撃の約38%で最も多かったです。情報流出を目的とする攻撃の場合、権限を持っていない攻撃者によってWebサイトが改ざんされる攻撃が多いです。代表的に、PHPのInclude機能を利用してWebサーバに悪性スクリプトを送り、そのスクリプトをサーバのWebページで実行させる攻撃「 File Inclusion」と、データベースに不正なSQL文を注入しWebサイトの運営企業に被害をもたらす「SQL Injection」による被害が確認されています。
▶OWASP Top10リストのうち、最も多かったのは「Server-side Request Forgery」
WAPPLESとCloudbric WAF+から検出されたWeb攻撃データをOWASP Top10と紐づけて分析した結果、Server-side Request Forgery(18.99%)と呼ばれる攻撃タイプが最も多く見つかりました。続いて、Injection(18.31%)とIdentification Authentication Failure(17.41%)の順ですが、ほぼ同じ割合を占めています。OWASP Top10は、Webアプリケーションセキュリティ市場の進歩と変化に合わせて更新されるものであるため、順位に関係なく注意すべき脆弱性となります。セキュリティ体制を構築する際には、OWASP Top10を参考にして対応していくことを推奨します。
▶WordPressの脆弱性を突いた攻撃が急増
5月に発見されたWordPressプラグインの脆弱性(CVE-2023-30777)は、 WP Engine Advanced Custom Fields Proと WP Engine Advanced Custom FieldsというWordPressプラグインの脆弱性です。CVSSスコアはNVDでは6.1、Patchstackでは7.1と高く評価されました。この脆弱性が悪用されたら反射型XSS攻撃につながる恐れがあるため、脆弱である6.15以前のバージョンをご使用のWordPress管理者の方には、直ちに最新のパッチを適用することを推奨します。
本レポートについての更に詳しい情報は、こちらからダウンロードできます。
https://www.pentasecurity.co.jp/recent-attack-trend/
◾️ペンタセキュリティシステムズ株式会社
ペンタセキュリティは、IT大国・韓国を代表する情報セキュリティ企業です。データ暗号化ソリューション「D'Amo」、クラウド型セキュリティ・プラットフォームサービス「Cloudbric」、認証セキュリティなど、企業情報セキュリティのための製品やサービスを提供しています。高度な技術を有し、韓国・日本・アメリカなどで特許を取得しており、日本をはじめ世界114カ国でビジネスを展開しています。また、IoTセキュリティやブロックチェーンを活用したサービスの開発にも力を注いでいます。
主なサービス内容
ハードウェア型アプライアンスWAF「WAPPLES」:https://www.pentasecurity.co.jp/wapples/
ソフトウェア型アプライアンスWAF「WAPPLES SA」: https://www.pentasecurity.co.jp/wapples-sa/
クラウド型WAF「Cloudbric WAF+」: https://www.cloudbric.jp/cloudbric-waf/
(日本語リリース:クライアント提供)
|
1/11 16:00 Qoly
27歳元Jリーガー、帰化した代表で勲章!現金60万円と1200万円相当の車も贈呈 |
|
1/11 18:08 東スポWEB
LA山火事でイ・ジョンフの渡米延期 韓国レジェンドの自宅は全焼=地元メディア |
|
1/11 21:23 Full-Count
「何か悪いことした?」好成績でも日本人に大ブーイング 同僚が見た“理不尽な扱い” |
|
1/11 16:42 Daiichi-TV(静岡第一テレビ)
通園バス置き去り事件 遺族が運営法人らに損害賠償請求【静岡・牧之原市】 |
|
1/11 18:37 日テレNEWS NNN
北九州中学生殺傷 容疑者の男を勾留質問へ |
|
1/11 20:09 中京テレビ
鳥インフルエンザの疑い 愛知・常滑市の養鶏場 県内で今シーズン6例目 |
|
1/11 18:19 福島中央テレビニュース
孫や子の初節句に ひな人形や五月人形約400点が並ぶ展示即売会 郡山市・福島 |
|
1/11 14:29 上毛新聞ニュース
《速報・全国高校サッカー》前橋育英(群馬)7年ぶり決勝進出で電子号外 上毛新聞 |
|
1/11 12:23 FNNプライムオンライン
経済的損失は約24兆円に…ロサンゼルス大火災で150平方キロメートル焼失・死者は11人 バイデ... |
|
1/11 18:12 テレビ和歌山
女子サッカー・和歌山なでしこCUP 和歌山県有田市 |
|
1/11 15:44 神戸新聞
交際相手と性行為撮影した疑い 19歳の大学生の男を逮捕 兵庫・加東 |
|
1/11 14:23 Real Sound 映画部
『Brother ブラザー』ウー・カンレンらのビデオメッセージ到着 ジャック・タンらの来日も |
