米Imperva「2020年における脆弱性の現状」公開、XSS最多 | ScanNetSecurity
2024.03.29(金)

米Imperva「2020年における脆弱性の現状」公開、XSS最多

米国のサイバーセキュリティ企業Impervaは3月、「The State of Vulnerabilities in 2020(2020年における脆弱性の現状)」についてまとめたレポートを公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
図1:脆弱性の数(2018-2020年)
図1:脆弱性の数(2018-2020年) 全 3 枚 拡大写真
米国のサイバーセキュリティ企業Impervaは3月、「The State of Vulnerabilities in 2020(2020年における脆弱性の現状)」についてまとめたレポートを公開した。

同社では、新しい脆弱性を継続的に監視しており、そのために脆弱性データベース、ニュースレター、フォーラム、ソーシャルメディアなどの様々なデータソースから情報を収集、それらを1つにまとめ各脆弱性の優先度を評価している。このデータを活用し、同社では1年を通して全てのWebアプリケーションとデータベースの脆弱性の分析を提供可能な立場にあり、傾向を見たり、セキュリティ状況の大きな変化に気づくことができる。

同レポートによると、COVID-19パンデミックの影響で企業が業務のデジタル化を余儀なくされたにもかかわらず、2020年は新たな脆弱性の数は減少した。2020年の脆弱性の根本原因に関しては、クロスサイトスクリプティング(XSS)が圧倒的に多く、次点は「インジェクション」で、SQLインジェクションに関連するものが多く見られた。脆弱性の数と2020年の攻撃数を比較すると、攻撃の殆どがXSSではなくインジェクションの脆弱性に関連しており、脆弱数とは逆の相関関係があった。

脆弱性をCVSS(Common Vulnerability Scoring System)に基づいて分けると、深刻度が「低」または「なし」が15.6%、「中」が47.1%、「高」が19.6%、「重大」とされたものが20.5%となった。過去のCVSSV2と比較すると、2020年はCriticalカテゴリが若干増加しており、Criticalとされた脆弱性を分析した結果、58.2%がIoT機器やドキュメントリーダー、マルチメディアプレーヤーなどのクライアントアプリケーションに関連するものであった。

カテゴリ別のWebアプリケーション関連の脆弱性を分析したところ、XSSが3,063件(28%)で圧倒的に多い。次点はインジェクションで、攻撃者がフィルタリングされていない入力、または悪意のある入力を使用し、それをWebアプリケーション経由で別のシステムに渡すことで発生する。2020年の脆弱性の数(1,711件)は、2019年に比べて16.7%(2,054件)減少し、2018年に比べて2.4%(1,671件)増加している。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る