2023年上半期の「Web 攻撃動向分析レポート(WATT Report)」を公開しました。このレポートは、全世界で運用中のアジア・太平洋マーケットシェア1位を誇るインテリジェント型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」の検知データをもとにWeb攻撃データを分析し、その結果をまとめたものです。
攻撃目的別割合 、 OWASP TOP 10 Web 攻撃動向 、主要攻撃元攻撃動向および Malicious IP 数増減推移 、業種別割合 、発信元国別攻撃動向など、さまざまな観点からWeb 脅威を分析しておりますので、Webセキュリティ動向にご興味のある方はぜひ資料をダウンロードしてください。
[tek_button button_text=”Web脅威分析レポート ダウンロード” button_link=”url:report-download/#1620584379534-3db3488e-10e1″ button_position=”button-center”]
情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、クラウド型セキュリティプラットフォームサービス「Cloudbric(クラウドブリック)」において、再春館システム株式会社(代表取締役社長:西川 正明、本社:東京都港区、以下再春館システム)とパートナーシップ契約を締結したことをお知らせします。
サイバー攻撃による被害件数および被害額は増加の一途をたどっています。ペンタセキュリティは、これまで企業の情報セキュリティ対策を支援するためのさまざまなサービスを提供しており、サイバー攻撃から企業のWebサイトおよびWebアプリケーションを防御できるWAF(Web Application Firewall)の必要性も年々高まっています。特にクラウドブリックのクラウド型WAFサービス「Cloudbric WAF+」は、サイバー脅威から自社を守るのに非常に効果的な対策のひとつです。
連日のように不正アクセス、DDoS攻撃等のサイバー攻撃により、企業が大きな被害に遭うケースがニュースで報道される一方、多くの中小企業は適切なセキュリティサービスを導入するための資金不足やセキュリティ人材不足問題等、企業情報を守るための課題も存在しています。再春館システムの強みであるEC、CRMの開発は、顧客情報やお客様の属性情報等、非常にセンシティブな情報を扱うことが多く、セキュリティ対策は必須事項のひとつです。
今回の販売代理店の契約締結を通じて、両社はWebセキュリティに対して中小企業が抱えている課題や多様なニーズに応えることができるように連携していきます。再春館システムの強みであるEC、CRMを中心としたシステム開発力を活用し、「Cloudbric WAF+」の販路確保と共に顧客別にカスタマイズされたWebセキュリティサービスを手軽に導入することが可能になります。
2023年1月から3月までに公開されたExploit-DBの脆弱性報告件数は195件でした。
報告された脆弱性の分析内容は、以下の通りです。
1. Web脆弱性の発生件数:2023年第1四半期の月平均Web脆弱性発生件数は65件で、3月には最も多い72件が報告されました。
2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は1⽉54%から3⽉34%まで減少傾向が見られましたが、CRITICAL Levelの脆弱性は46%から65%まで増加しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど深刻度が高いという意味です。
3. 上位Web脆弱性の攻撃動向:2023年第1四半期の場合、SQL Injectionが最も多く、次いでFile Upload、Remote Code Executionの順でした。
1) 1⽉: SQL Injection 73% (45件) / File Upload 9% (6件)
2) 2⽉: SQL Injection 64% (40件) / Remote Code Execution 12% (8件)
3) 3⽉: SQL Injection 76% (55件) / File Upload 5% (4件)
4. Web脆弱性の攻撃カテゴリ:報告されたWeb脆弱性を攻撃カテゴリ別に分析した結果、SQL Injection(72%、140件)が最も多く、次いでFile Upload(7%、13件)となり、全体の約8割弱を占めています。この2つの脆弱性に対しては更に注意を払う必要があります。
当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。
[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]
クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年5月29日(月)~6月5日(月)に開催されるITmedia主催セミナー「ITmedia Security Week 2023 夏」にて、講演を行います。
セキュリティ事件・事故が多数報道される中、企業・組織のセキュリティ意識は着実に高まっています。ゼロトラスト/SASE、XDR、アタックサーフェスマネジメントなど、概念・ツール類も発展し、対策を高度化させる環境も整いつつあるといえるでしょう。しかし、今検討している対策やツール類は、本当に「自社にとって」必要、有効と言い切れるでしょうか。セキュリティ対策に限らず「最新=最善」ではありません。「ITmedia Security Week 2023 夏」では、多様な選択肢の中から貴社の目的・状況に対して「本当に必要な対策」を見出す視点を提供します。
下記のサイトにて事前登録をお願いします。
https://v2.nex-pro.com/campaign/54993/apply?group=cl
ご登録のメールアドレスに視聴URLの案内が届きます。当日は、視聴URLにアクセスの上、事前登録にて登録いただいたメールアドレスでログインしてご視聴ください。
クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023 年4 月12 日より、「Cloudbric 脆弱性診断」の新サービスとして企業のWeb サイトに特化した「Web サイト診断」の提供を開始します。
デジタル技術の進展により、インターネットをはじめとする情報通信ネットワークは私たちの社会にとって欠かせないものとなりました。特にここ数年、新型コロナウイルスの流行によって、世の中のデジタル化が急速に進行しています。総務省の調査*によると、Webサイトを開設している企業の割合は全体の90.4%にのぼっており、企業にとってWeb サイトは必須のものといえます。一方で、情報通信ネットワークを介したセキュリティ被害も急増しており、52.0%の企業が何らかのセキュリティ被害を受けたことがあることが分かっています。
しかし、セキュリティ対策を積極的に推進できない企業があるのも事実です。費用の問題や被害の影響範囲を小さく見積もってい
ることが考えられます。例えば、「自社のWeb サイトは静的なページのみなので、攻撃されないだろう」と思う企業もあるかもしれませんが、近年頻発している「サプライチェーン攻撃」に代表されるように、自社を経由して関連会社や取引先を侵害することもありえるため、Web サイトを公開している企業は常にサイバー脅威にさらされているのだという危機意識を持つ必要があります。
こういった企業を取り巻く状況を鑑み、「Cloudbric 脆弱性診断」においてもWeb サイトに特化した新しいサービスを迅速かつリ
ーズナブルな価格で提供することで、お客さまのWeb サイトのリスクの早期発見とサイバーセキュリティ対策の一助になることを目指します。
*総務省「令和3 年 通信利用動向調査報告書(企業編)」 https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202100_002.pdf
「Cloudbric 脆弱性診断」は、セキュリティのエキスパートによる脆弱性診断と114 カ国から収集した独自の脅威インテリジェンスを利用できるサービスです。診断は、システムの基盤となるミドルウェアやOS などの診断を行う「プラットフォーム診断」、Web サイトやWeb アプリケーションのセキュリティ脆弱性を診断する「Web アプリケーション診断」、それから今回新た加わるWeb サイトに特化した「Web サイト診断」があり、お客さまの環境およびニーズに応じて必要な診断を選択することができます。
「Web サイト診断」は、企業のWeb サイトに対し、外部の攻撃者からの目線で有益な情報が収集できる状態になっていないか
を調査し、脆弱性を見逃すことなく、サイバー脅威のリスクから企業を守ります。必須診断項目の含まれたベースプランと、Web サイトの構造や属性に合わせて選択できる2 つのオプション(Web アプリケーション診断要素を加えたものとプラットフォーム診断要素を加えたもの)を用意しています。
■サービス概要
サービス名:Cloudbric 脆弱性診断(プラットフォーム診断・Web アプリケーション診断・Web サイト診断)
提供開始日:2023 年4 月12 日
URL:https://www.cloudbric.jp/security-assessment/
▼Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/
「Web 攻撃動向分析レポート(WATT Report)」は、全世界で運用中のアジア・太平洋マーケットシェア1位を誇るインテリジェント型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」の検知データをもとに作成されたものです。
2022年下半期(2022年7月1日から12月31日まで)のWeb攻撃データを分析し、その結果をまとめた最新レポートを発行いたしましたので、Webセキュリティ動向にご興味のある方はぜひご覧ください。
[tek_button button_text=”Web脅威分析レポート ダウンロード” button_link=”url:report-download/#1620584379534-3db3488e-10e1″ button_position=”button-center”]
クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年2月15日より、セキュリティのエキスパートによる脆弱性診断と95カ国から収集した独自の脅威インテリジェンスを利用できるサービス「Cloudbric 脆弱性診断」を開始します。
※脅威インテリジェンスサービスは現在準備中で、春頃の提供開始を予定しています。
近年増加しているサイバー攻撃は、企業に深刻な損害をもたらします。情報処理推進機構(IPA)によると、2021年9月にある建設コンサルティング企業がランサムウェア攻撃を受け、7億円以上の特別損失を計上した例もあります*。こうした脅威にさらされている企業にとって、情報セキュリティ対策は喫緊の課題です。
企業が行うべき対策の第一歩は、サイバーリスクの認識であり、そのために必要なのが「脆弱性診断」です。まずは、自社のシステム環境がどのような脆弱性を抱えているのかを明確化し、次に脆弱性への対策を実施するのが定石です。クラウドブリックでは、これまでクラウド型WAFサービス「Cloudbric WAF+」などの情報セキュリティサービスを提供してまいりましたが、今回の新サービスは企業が最初に導入すべきサイバーセキュリティ対策であり、既存のサービスを含めるとCloudbricひとつでリスクの認識から脅威対策・継続的な運用まで、総合的なソリューション提供が可能になります。
また今回、クラウドブリックが95カ国から独自に収集した脅威インテジェンスを利用できる「脅威インテリジェンスサービス」も付帯することにより、攻撃の予兆となる最新の脅威情報をいち早く把握し、予防策を講じるのに役立てることができます。サイバー脅威情報を共有する国際的な非営利団体「CTA(Cyber Threat Alliance)」に加盟しているクラウドブリックならではのサービスであり、「未知の脅威」への対策も含んだ、一歩先を行くサービスを提供します。
クラウドブリックおよびペンタセキュリティは、今後も企業が安全なビジネス環境を構築できるよう、情報セキュリティサービスを拡充させてまいります。
*情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022」 https://www.ipa.go.jp/security/vuln/10threats2022.html
■サービス概要
サービス名:Cloudbric 脆弱性診断
提供開始日:2023年2月15日
URL:https://www.cloudbric.jp/security-assessment/
▼Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/
2022年10月から12月までに公開されたExploit-DBの脆弱性報告件数は119件でした。
報告された脆弱性の分析内容は、以下の通りです。
1. Web脆弱性の発生件数:2022年第4四半期の月平均Web脆弱性発生件数は40件で、12月には最も多い47件が報告されました。
2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は10⽉100%から12⽉72%まで減少したことが確認されました。MEDIUM Level脆弱性は0%から40%まで増加した後、27%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。
3. 上位Web脆弱性の攻撃動向:2022年第4四半期の場合、前期と同様でSQL Injectionが主な脆弱性として報告され、その次にRemote Code Executionが続いています。
1) 10月: SQL Injection 57%(20件) / Remote Code Execution 22%(8件)
2) 11月: SQL Injection 72%(27件) / Remote Code Execution 5%(2件)
3) 12月: SQL Injection 57%(27件) / Remote Code Execution 17%(8件)
4. Web脆弱性の攻撃カテゴリ: Web脆弱性の攻撃カテゴリ別に分析した結果、最も多く報告された上位2つの脆弱性はSQL Injection(62%、74件)とRemote Code Execution(15%、18件)で、2022年第4四半期に発⽣したWeb脆弱性の攻撃のうち、約8割弱を占めています。この2つの脆弱性に対しては、更に注意を払う必要があります。
当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。
[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]
2022年4月から6月まで公開されたExploit-DBの脆弱性報告件数は33件でした。
報告された脆弱性の分析内容は、以下の通りです。
1. Web脆弱性の発生件数:2022年第2四半期の月平均Web脆弱性発生件数は11件で、5月には最も多い14件が報告されました。
2. CVSS(Common Vulnerability Scoring System)* 推移: 4月は14%、5月は21%で増加傾向にありましたが、6月には8%にまで減少しました。MEDIUM Level脆弱性は85%から41%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。
3. 上位Web脆弱性の攻撃動向: 2022年第2四半期の場合、前期と同様でSQL Injectionが主な脆弱性として報告され、その次にCross SiteScripting、Remote Code Executionと続いています。
1) 4月: Other 42%(3件) / Remote Code Execution 28%(2件)
2) 5月: SQL Injection 71%(10件) / Other 21%(3件)
3) 6月: Cross Site Scripting 41%(5件) / Remote Code Execution 25%(3件)
4. Web脆弱性の攻撃カテゴリ: Web脆弱性の攻撃カテゴリ別に分析した結果、最も多く報告された脆弱性はSQL Injection(36%、12件)とCrossSite Scripting(18%、6件)で全体の約5割を占めます。したがって、この2つの脆弱性に対しては、更に注意を払う必要があります。
当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。
[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]
2021年10月から12月まで報告されたExploit-DBの脆弱性報告件数は119件です。
脆弱性の分析内容は、以下の通りです。
1. Web脆弱性の発生件数: 2021年第4四半期のWeb脆弱性は平均40件で、10月は最も多い62件が報告されました。
2. CVSS(Common Vulnerability Scoring System)* 推移: HIGH Levelの脆弱性を分析した結果、10月の6.45%から、11月の7.89%、そして12月は21.05%で増加傾向が見られました。MEDIUM Levelの脆弱性においては、58%から47%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。
3. 上位Web脆弱性の攻撃動向:2021年第4四半期は前四半期に続き、Cross Site Scripting、SQL Injection、Remote Code Executionが主な脆弱性として観察されました。
1) 10月: SQL Injection 30%(19件) / Cross Site Scripting 29%(18件)
2) 11月: Cross Site Scripting 42%(16件) / SQL Injection 28%(11件)
3) 12月: Remote Code Execution 36%(7件) / Cross Site Scripting 15%(3件)
4. Web脆弱性の攻撃カテゴリ: Cross Site Scriptingが31%(37件)と最も多く発生しており、その次にはSQL Injectionが27%(33件)と続いています。この2つの脆弱性は第4四半期に発生したWeb脆弱性の半分以上(58%)を占めており、これに対する備えが必要となります。
当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づいた、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。
*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。
[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]
