ペンタセキュリティ、「2016年Webアプリケーション脅威解析報告書」公開
ペンタセキュリティ、「2016年Webアプリケーション脅威解析報告書」公開
セキュリティ脅威に效果的に対応するためのウェブ攻撃タイプ及び産業別∙国家別∙時間帯別攻撃の動向分析拡大
金融・教育分野はランサムウェアと同様の不正プログラムのアップロード攻撃が50%以上
データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、2016年の一年間、全世界で発生したウェブ攻撃の動向を分析した「Webアプリケーション脅威解析報告書(Web Application Threat Trend Report)」を公開しました。
2010年から発表しているWebアプリケーション脅威解析報告書は、アジア・パシフィック地域の市場占有率1位のウェブアプリケーションファイアウォール製品「WAPPLES(ワップル)」が収集した実際のデータを基盤としたもので、収集に同意した検知ログをペンタセキュリティの「ICS(Intelligent Customer Support)システム」で分析し、作成します。これによって、セキュリティ管理者たちはウェブ攻撃タイプ、産業別の攻撃の動向、国家別の動向など、様々な分析結果を理解し、セキュリティ脅威のトレンドを把握してハッカーの攻撃に効果的に対応することができます。
レポートの概要は以下のとおり。
1.2016年ウェブ攻撃の動向では、「SQLインジェクション(SQL Injection)攻撃」*が45%で最も高く、ウェブページに悪性コードを挿入する「クロスサイトスクリプティング(Cross Site Scripting)攻撃」**が30%で第2位を占めました。両方どちらも一度で内部情報流出が可能であり、これを通じて深刻なレベルの脅威につながるため、使用者の格別な注意が必要です。
2.2016年ウェブ攻撃の動向では、産業別に他の攻撃の様相を確認することができました。個人や団体の私設サイトには、クロスサイトスクリプティング攻撃が主に行われました。金融・教育産業では、悪性ファイルをアップロードしてシステム権限を得る「ファイルアップロード(File Upload)攻撃」***、運送・製造・建設業などには「SQLインジェクション攻撃」が目立っており、コミュニティのような攻撃が50%以上を占めました。コミュニティのような私設団体の場合、相対的にセキュリティ措置がきちんと行われず、様々な個人情報を含んでおり、ハッカーたちの主なターゲットになる場合が多いです。したがって、各産業による攻撃の動向に合わせたセキュリティ対策を樹立し、より効果的にハッキング被害を防ぐことができます。
3.2016年ウェブ攻撃の動向では、特定の大陸別で頻繁に見える攻撃パターンが存在しました。主にアジア地域ではクロスサイトスクリプティング攻撃が、ヨーロッパや北・南アメリカではSQLインジェクション攻撃が目立っており、アジアで開始される攻撃が増加している傾向です。したがって、特定の大陸・国家のトラフィックに対するセキュリティ政策を強化する方法を悩まなければなりません。
ペンタセキュリティのCSOのDSKimは「2010年から発刊されたウェブ攻撃の脅威解析報告書では、WAPPLES運営関連技術的な報告書だったとすれば、今年からセキュリティ政策の立案過程で必要な情報を含め、セキュリティ管理の役に立てるように産業別、国家別、時間帯別のウェブ攻撃の動向を追加した。」とし、「全てがインターネットで結ばれている時代にウェブセキュリティ措置は必須的だ。重要な情報を保有した機関および団体がウェブハッキング攻撃に効果的に対応するに当たって、この報告書が少しでも役になることを願う。」と言及しました。
2016年Webアプリケーション脅威解析報告書は、ペンタセキュリティのホームページ(https://www.pentasecurity.co.jp/セキュリティ脅威トレンド解析レポートのダウン/)でダウンロードできます。
【技術用語説明】
*SQLインジェクション(SQL Injection)攻撃とは、ウェブアプリケーションの隙を悪用し、アプリケーションの開発者が予想できなかったSQL文章が実行させることで、データベースを非正常的に操作する攻撃です。
**クロスサイトスクリップティング(Cross Site Scripting)攻撃とは、ユーザアクセスの際に表示内容が生成される「動的ウェブページ」の脆弱性、またはその脆弱性を利用した攻撃方法を意味します。動的ウェブページの表示内容の生成処理の際、ウェブページに任意のスクリプトが侵入して、ウェブサイトを閲覧したユーザ環境に侵入したスクリプトが実行されます。
***ファイルアップロード(File Upload)攻撃とは、攻撃者が攻撃プログラムを当該システムにアップロードして攻撃する方法を意味します。攻撃方法は、攻撃者がシステム内部の命令を実行できるウェブプログラム(ASP、JSP、PHP)を製作し、資料室と共にファイルをアップロードできる処に攻撃用プログラムをアップロードする形式です。
WAPPLES(ワップル)
WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。
製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201