ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?:「CWE Top 25」2023年版、MITREが発表
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。
MITREは2023年6月29日(米国時間)、ソフトウェアにおいて危険な脆弱(ぜいじゃく)性タイプの1位〜25位をまとめた「CWE(Common Weakness Enumeration:共通脆弱性タイプ) Top 25」を発表した。
CWE Top 25は、米国国立標準技術研究所(NIST)の「NVD」(National Vulnerability Database:脆弱性情報データベース)や米国サイバーセキュリティ・社会基盤安全保障庁(CISA)の「KEVC」(Known Exploited Vulnerabilities Catalog:既知の悪用された脆弱性リスト)に記録された2021年から2022年の「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)レコード4万3996件をデータセットとし、脆弱性の深刻度を示す「CVSS」(Common Vulnerability Scoring System:共通脆弱性評価システム)をもとに重大度や危険度をスコアリングしている。
CWE Top 25の結果は以下の通り。
順位 | ID | 名前 | スコア |
---|---|---|---|
1位 | CWE-787 | 境界外書き込み | 63.72 |
2位 | CWE-79 | クロスサイトスクリプティング | 45.54 |
3位 | CWE-89 | SQLインジェクション | 34.27 |
4位 | CWE-416 | 解放済みメモリの使用 | 16.71 |
5位 | CWE-78 | OSコマンドインジェクション | 15.65 |
6位 | CWE-20 | 不適切な入力確認 | 15.50 |
7位 | CWE-125 | 境界外読み取り | 14.60 |
8位 | CWE-22 | パストラバーサル | 14.11 |
9位 | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) | 11.73 |
10位 | CWE-434 | 危険なタイプのファイルの無制限アップロード | 10.41 |
11位 | CWE-862 | 認証の欠如 | 6.90 |
12位 | CWE-476 | NULL ポインタデリファレンス | 6.59 |
13位 | CWE-287 | 不適切な認証 | 6.39 |
14位 | CWE-190 | 整数オーバーフローまたはラップアラウンド | 5.89 |
15位 | CWE-502 | 信頼できないデータのデシリアライゼーション | 5.56 |
16位 | CWE-77 | コマンドインジェクション | 4.95 |
17位 | CWE-119 | バッファーエラー | 4.75 |
18位 | CWE-798 | ハードコードされた認証情報の使用 | 4.57 |
19位 | CWE-918 | サーバサイドリクエストフォージェリ(SSRF) | 4.56 |
20位 | CWE-306 | 重要な機能に対する認証の欠如 | 3.78 |
21位 | CWE-362 | 競合状態 | 3.53 |
22位 | CWE-269 | 不適切な権限管理 | 3.31 |
23位 | CWE-94 | コードインジェクション | 3.30 |
24位 | CWE-863 | 不正な認証 | 3.16 |
25位 | CWE-276 | 不適切なデフォルトパーミッション | 3.16 |
2023年版のCWE Top 25は、2022年版と比較して1位〜3位に変動はなかったものの、4位のCWE-416(解放済みメモリの使用)、11位のCWE-862(認証の欠如)、22位のCWE-269(不適切な権限管理)、24位のCWE-863(不正な認証)が上昇した。一方、15位のCWE-502(信頼できないデータのデシリアライゼーション)、18位のCWE-798(ハードコードされた認証情報の使用)、25位のCWE-276(不適切なデフォルトパーミッション)は下降した。
MITREは今後数週間以内に、2019年〜2023年に公開したCWE Top25のデータを傾向分析した結果を公開予定としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- MITRE ATT&CK(マイターアタック)とは? 「今のサイバー攻撃って何してくるの?」が分かる6つの利用方法
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。 - piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき? CISA公開リスト「KEVC」とは?――ゼロデイそして「Nデイ」対策へ
いまの時代に即した脆弱性管理/対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理/対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。 - 架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。