「認可の欠落」が4位に急浮上 「最も危険な脆弱性Top 25」MITREが公開:2025年版のリスト 警戒すべき変化とは
MITREはソフトウェアにおける危険な脆弱性タイプをまとめた「CWE Top 25 Most Dangerous Software Weaknesses」の2025年版を発表した。Webアプリケーション関連の脆弱性がTop 3を独占する結果となった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
米国の非営利団体MITREは2025年12月10日(米国時間)、ソフトウェアの脆弱(ぜいじゃく)性のうち、最も危険な25種類を特定した年次リスト「2025 CWE Top 25 Most Dangerous Software Weaknesses」(以下、CWE Top 25)を発表した。
CWE Top 25は、NIST(米国国立標準技術研究所)の「NVD」(National Vulnerability Database:脆弱性情報データベース)に登録された「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)のデータを基に作成されている。
MITREは2024年6月から2025年6月に公開された約4万件のCVEレコードを分析し、それらが該当するCWE(Common Weakness Enumeration:共通脆弱性タイプ)ごとに「深刻度(CVSSスコア)」と「発見頻度」を独自の数式でスコアリングしている。
CWE Top 25の結果は以下の通り。
「認可の欠落」が4位に浮上 Webアプリケーション関連の脆弱性がTop 3独占
| 順位 | ID | 名前 | スコア | 2024年版との差 |
|---|---|---|---|---|
| 1位 | CWE-79 | クロスサイトスクリプティング | 60.38 | 0 |
| 2位 | CWE-89 | SQLインジェクション | 28.72 | +1 |
| 3位 | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) | 13.64 | +1 |
| 4位 | CWE-862 | 認可の欠落 | 13.28 | +5 |
| 5位 | CWE-787 | 境界外書き込み | 12.68 | -3 |
| 6位 | CWE-22 | パストラバーサル | 8.99 | -1 |
| 7位 | CWE-416 | 解放済みメモリの使用 | 8.47 | +1 |
| 8位 | CWE-125 | 境界外読み取り | 7.88 | -2 |
| 9位 | CWE-78 | OSコマンドインジェクション | 7.85 | -2 |
| 10位 | CWE-94 | コードインジェクション | 7.57 | +1 |
| 11位 | CWE-120 | 古典的バッファーオーバーフロー | 6.96 | (初) |
| 12位 | CWE-434 | 危険なタイプのファイルの無制限アップロード | 6.87 | -2 |
| 13位 | CWE-476 | NULLポインタデリファレンス | 6.41 | +8 |
| 14位 | CWE-121 | スタックベースのバッファオーバーフロー | 5.75 | (初) |
| 15位 | CWE-502 | 信頼できないデータのデシリアライゼーション | 5.23 | +1 |
| 16位 | CWE-122 | ヒープベースのバッファーオーバーフロー | 5.21 | (初) |
| 17位 | CWE-863 | 不正な認可 | 4.14 | +1 |
| 18位 | CWE-20 | 不適切な入力確認 | 4.09 | -6 |
| 19位 | CWE-284 | 不適切なアクセス制御 | 4.07 | (初) |
| 20位 | CWE-200 | 情報漏えい | 4.01 | -3 |
| 21位 | CWE-306 | 重要な機能に対する認証の欠如 | 3.47 | +4 |
| 22位 | CWE-918 | サーバサイドリクエストフォージェリ(SSRF) | 3.36 | -3 |
| 23位 | CWE-77 | コマンドインジェクション | 3.15 | -10 |
| 24位 | CWE-639 | ユーザー制御の鍵による認証回避 | 2.62 | +6 |
| 25位 | CWE-770 | 制限またはスロットリングなしのリソース割り当て | 2.54 | +1 |
2025年版のランキングでは、Webアプリケーションに関連する脆弱性が1位から3位を独占した。
1位は2024年と変わらず「CWE-79(クロスサイトスクリプティング)」が維持した。続いて2位には「CWE-89(SQLインジェクション)」、3位には「CWE-352(クロスサイトリクエストフォージェリ)」がランクインした。
4位には「CWE-862(認可の欠落)」が急浮上した。これは、ログイン済みのユーザーであっても、特定のデータや機能へのアクセス権限を持っているかどうかを都度検証する認可プロセスが欠落している状態を指す。認可プロセスの実装漏れによるリスクが年々増加していることを浮き彫りにしている。
一方、2024年まで長期間にわたりトップクラスの脅威とされた「CWE-787(境界外書き込み)」は5位へと順位を下げた。メモリバッファーの境界を超えてデータを書き込むメモリ脆弱性であり、依然として深刻度は高いものの、他の脅威が順位を上回った。
評価手法の変更で「バッファーオーバーフロー」関連が複数ランクイン
11位には「CWE-120(古典的バッファーオーバーフロー)」、14位に「CWE-121(スタックベースのバッファーオーバーフロー)」、16位に「CWE-122(ヒープベースのバッファーオーバーフロー)」など、バッファーオーバーフロー関連の脆弱性が複数ランクインした。
この背景には、評価手法の変更がある。MITREによると、従来行われていた汎用(はんよう)的なカテゴリーへの統合プロセス(正規化)が撤廃され、報告された詳細な分類がそのまま集計に反映されている。加えて、LLM(大規模言語モデル)による分類の精緻化も導入されたことで、バッファーオーバーフローに関連する脆弱性が個別にランクインする結果になったという。
MITREは今後、ランク外ではあるものの将来的にTop 25入りする可能性のある脆弱性をまとめたリストや、悪用頻度別に脆弱性をスコアリングした結果を公表する計画だ。
MITREがこのTop 25リストを作成・公開する目的は、ソフトウェア開発者、テスト担当者、プロジェクトマネジャーおよびセキュリティ研究者が、ソフトウェア開発ライフサイクル(SDLC)の初期段階で考慮すべき最も重要なセキュリティ上のリスクを特定するための共通指標を提供することにある。
関連記事
あなたのブラウザは大丈夫? Chrome拡張機能が「いつの間にか」マルウェアに変わる手口と5つの対策
パスワード管理や翻訳ツールなどの便利な「Chrome拡張機能」を愛用している人も多いのではないでしょうか。しかし、ある日突然、拡張機能がマルウェア化してしまう、という事件が起きています。なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。
いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン
Microsoftは「Active Directory Domain Services」(AD DS)を狙う攻撃を6つに分類し、検知や対策の方法を示した。
MITRE ATT&CK(マイターアタック)とは? 「今のサイバー攻撃って何してくるの?」が分かる6つの利用方法
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。