Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

情報流出を狙った攻撃が5割超 - 脆弱性探索も

ウェブアプリケーションを狙った攻撃で、情報の窃取を狙ったと見られる攻撃が半数以上にのぼるとする調査結果をペンタセキュリティシステムズが取りまとめた。

同社が、2020年1月から6月にかけて同社のウェブアプリケーションファイアウォール(WAF)やクラウドサービスにおいて検知したウェブ攻撃の動向について分析し、結果を取りまとめたもの。

同期間に検知されたウェブに対する攻撃では、「エクステンションフィルタリング」が32.7%でもっとも多い。次いで「リクエストヘッダフィルタリング」が16.7%、「SQLインジェクション」が15.2%、「エラー処理」が7.5%、「URLアクセス制御」が5.7%と続く。

「OWASP TOP 10」に対応させた攻撃の分類としては、「インジェクション」が最多。「認証不備」「機微な情報の露出」「アクセス制御の不備」「不適切なセキュリティ設定」と続いた。

ウェブ攻撃を目的別に見ると、「情報流出」が51.9%で半数を占めた。「脆弱性スキャン」が28.6%、「悪性コード流布」が9.3%、「サーバ運用妨害」が5.8%、「ウェブサイト改ざん」が4.3%と続く。

SQLインジェクションやクロスサイトスクリプティング(XSS)、ディレクトリトラバーサルなど、主要5種類の攻撃における攻撃対象としては、「放送、通信」が38.9%でもっとも多く、「公共」が26.3%、「教育」が17.2%、「製造、流通」が12.1%、「EC業界」が5.5%と続いた。

(Security NEXT - 2020/12/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2021年3Qはインシデントが約25.9%増 - 「サイト改ざん」が倍増
IPA、「DX白書2021」を公開 - 日米の差が明らかに
改正個人情報保護法の実務対応をテーマとしたセミナー開催 - JIPDEC
クラウドのセキュリティ責任共有モデルをテーマにセミナー開催 - DBSC
「CODE BLUE 2021」基調講演にデジタル庁CISOの坂明氏 - 会場限定セッションも
攻撃者狙う脆弱な「VPN」、導入や堅牢化のガイダンスを米政府が公開
「JAPANSecuritySummit 2021」をオンライン開催
JIPDECとフィ対協、メーラーの「S/MIME」対応状況を調査
IPA、「IPAデジタルシンポジウム2021」を開催 - 「DX」を中心にセキュリティなど議論
応募企画を実現、セキュリティコンテスト「SECCONCON」開催