最も危険なソフトウェアエラー 「CWE TOP 25」2024年版発表
2024年11月22日、米MITREが運営するHSSEDIと米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「2024 CWE TOP 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTOP25 2024年版)」を発表しました。
CWE TOP 25は過去1年間に報告された3万件を超える脆弱性データを分析し、深刻度や影響範囲が大きい脆弱性タイプをランク付けしたものです。セキュリティ対策の優先順位を定め、効率的にリスクを軽減するための重要な指針として注目されています。
| 順位 | 脆弱性名 | 昨年順位 |
| 1 | クロスサイトスクリプティング(CWE-79) | 2 |
| 2 | 範囲外の書き込み(CWE-787) | 1 |
| 3 | SQLインジェクション(CWE-89) | 3 |
| 4 | クロスサイトリクエストフォージェリ(CWE-352) | 9 |
| 5 | パストラバーサル(CWE-22) | 8 |
| 6 | 範囲外の読み取り(CWE-125) | 7 |
| 7 | OSコマンドインジェクション(CWE-78) | 5 |
| 8 | 解放したメモリの使用(CWE-416) | 4 |
| 9 | 認可の欠如(CWE-862) | 11 |
| 10 | 危険なタイプのファイルのアップロード許可(CWE-434) | 10 |
| 11 | コードインジェクション(CWE-94) | 23 |
| 12 | 不適切な入力検証(CWE-20) | 6 |
| 13 | コマンドインジェクション(CWE-77) | 16 |
| 14 | 不適切な認証(CWE-287) | 13 |
| 15 | 権限管理の不備(CWE-269) | 22 |
| 16 | 不適切なデータ逆シリアル化(CWE-502) | 15 |
| 17 | 権限を持たないユーザへの機密情報の漏洩(CWE-200) | 30 |
| 18 | 不適切な認可(CWE-863) | 24 |
| 19 | サーバーサイドリクエストフォージェリ(CWE-918) | 19 |
| 20 | メモリバッファ境界内での不適切な処理制限(CWE-119) | 17 |
| 21 | NULLポインター逆参照(CWE-476) | 12 |
| 22 | ハードコードされた資格情報の使用(CWE-798) | 18 |
| 23 | 整数のオーバーフローまたはラップアラウンド(CWE-190) | 4 |
| 24 | 制御されていないリソース消費(CWE-400) | 37 |
| 25 | 重要な機能の使用に対する認証の欠如(CWE-306) | 20 |
出典:https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.htmlより弊社翻訳
CWEとは
CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。ソフトウェアやシステムに存在する脆弱性を体系的に分類・整理したデータベースであり、開発者やセキュリティ専門家が脆弱性の回避や修正を行うための知識を提供します。
このデータベースを基に作成されたCWE TOP 25は、影響の深刻度や頻度を基準に順位付けされています。前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。
2024年度の全体的な傾向
2024年版のTOP25では、クロスサイトスクリプティング(XSS)が最も危険な脆弱性として1位に返り咲きました。昨年は2位だったXSSが再びトップとなったことで、この脆弱性が依然として攻撃者にとって非常に有用であり、深刻なリスクをもたらしていることが浮き彫りとなっています。さらに、範囲外メモリへの書き込みやSQLインジェクションも上位にランクインしており、依然として攻撃手段に活用されている実態が明らかになりました。これらの脆弱性はシステムへの不正アクセスやデータ漏洩を引き起こす可能性があり、引き続き厳重な警戒と対策が求められます。
まとめ
CWE TOP 25は、ソフトウェアセキュリティにおける脆弱性を特定し、効果的な対策を講じるための指針として機能します。開発者にとっては、脆弱性を事前に予測し、修正作業を効率化するための実用的なツールであり、セキュリティ専門家にとっては、リスク評価や診断の基準を提供します。さらに企業にとっては、このリストを活用することで、セキュリティ戦略を再構築し、組織やシステムのセキュリティ体制を強化するための基盤となります。
CWE TOP 25が提供する洞察は、企業や組織が脆弱性を未然に防ぎ、安全なソフトウェアやシステムを構築するための重要なステップとなります。特に、攻撃の高度化が進む現代では、このリストを活用してリスクの排除や対策の強化を図ることが、企業の存続と顧客信頼の維持に直結します。CWE TOP 25をもとに、最新のセキュリティ対策を実施することが今後さらに重要になるでしょう。
Security Report TOPに戻る
TOP-更新情報に戻る
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
「スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」
「ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-」
「サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”」
最新情報はこちら
