ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は？：「CWE Top 25」2023年版、MITREが発表

MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。

[＠IT]

　MITREは2023年6月29日（米国時間）、ソフトウェアにおいて危険な脆弱（ぜいじゃく）性タイプの1位〜25位をまとめた「CWE（Common Weakness Enumeration：共通脆弱性タイプ） Top 25」を発表した。

　CWE Top 25は、米国国立標準技術研究所（NIST）の「NVD」（National Vulnerability Database：脆弱性情報データベース）や米国サイバーセキュリティ・社会基盤安全保障庁（CISA）の「KEVC」（Known Exploited Vulnerabilities Catalog：既知の悪用された脆弱性リスト）に記録された2021年から2022年の「CVE」（Common Vulnerabilities and Exposures：共通脆弱性識別子）レコード4万3996件をデータセットとし、脆弱性の深刻度を示す「CVSS」（Common Vulnerability Scoring System：共通脆弱性評価システム）をもとに重大度や危険度をスコアリングしている。

　CWE Top 25の結果は以下の通り。

順位	ID	名前	スコア
1位	CWE-787	境界外書き込み	63.72
2位	CWE-79	クロスサイトスクリプティング	45.54
3位	CWE-89	SQLインジェクション	34.27
4位	CWE-416	解放済みメモリの使用	16.71
5位	CWE-78	OSコマンドインジェクション	15.65
6位	CWE-20	不適切な入力確認	15.50
7位	CWE-125	境界外読み取り	14.60
8位	CWE-22	パストラバーサル	14.11
9位	CWE-352	クロスサイトリクエストフォージェリ（CSRF）	11.73
10位	CWE-434	危険なタイプのファイルの無制限アップロード	10.41
11位	CWE-862	認証の欠如	6.90
12位	CWE-476	NULL ポインタデリファレンス	6.59
13位	CWE-287	不適切な認証	6.39
14位	CWE-190	整数オーバーフローまたはラップアラウンド	5.89
15位	CWE-502	信頼できないデータのデシリアライゼーション	5.56
16位	CWE-77	コマンドインジェクション	4.95
17位	CWE-119	バッファーエラー	4.75
18位	CWE-798	ハードコードされた認証情報の使用	4.57
19位	CWE-918	サーバサイドリクエストフォージェリ（SSRF）	4.56
20位	CWE-306	重要な機能に対する認証の欠如	3.78
21位	CWE-362	競合状態	3.53
22位	CWE-269	不適切な権限管理	3.31
23位	CWE-94	コードインジェクション	3.30
24位	CWE-863	不正な認証	3.16
25位	CWE-276	不適切なデフォルトパーミッション	3.16

　2023年版のCWE Top 25は、2022年版と比較して1位〜3位に変動はなかったものの、4位のCWE-416（解放済みメモリの使用）、11位のCWE-862（認証の欠如）、22位のCWE-269（不適切な権限管理）、24位のCWE-863（不正な認証）が上昇した。一方、15位のCWE-502（信頼できないデータのデシリアライゼーション）、18位のCWE-798（ハードコードされた認証情報の使用）、25位のCWE-276（不適切なデフォルトパーミッション）は下降した。

　MITREは今後数週間以内に、2019年〜2023年に公開したCWE Top25のデータを傾向分析した結果を公開予定としている。