MITREは、悪用される危険性の高いソフトウェア脆弱性トップ25を発表しました。このリストは、NISTの国家脆弱性データベース(NVD)、CISAの既知の脆弱性(KEV)カタログを分析対象とし、過去2年分の37,899件のCVEレコードの分析結果から作成されています。

このTop25を作成するにあたりMITRE独自のスコアリング方法が適用されており、悪用された時の影響度だけではなく、それが実際に利用されたか?システムに与える影響度等も考慮されています。例えば悪用された時の影響が非常に大きかったとしても、それを悪用された形跡が殆ど見られなかった脆弱性は得点が低くなり、悪用された時の影響度が小さかったとしても頻繁に利用されている脆弱性は得点が高くなるといった考慮がなされてます。

そのため、このTop25に掲載された脆弱性は攻撃に利用される頻度も高く、悪用された時の影響度も大きいと考えられるため、優先的に対策の必要な脆弱性となっています。

■危険な脆弱性Top25

1位:Out-of-bounds Write(CWE-787)

2位:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')(CWE-79)

3位:Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')(CWE-89)

4位:Improper Input Validation(CWE-20)

5位:Out-of-bounds Read(CWE-125)

6位:Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')(CWE-78)

7位:Use After Free(CWE-416)

8位:Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')(CWE-22)

9位:Cross-Site Request Forgery (CSRF)(CWE-352)

10位:Unrestricted Upload of File with Dangerous Type(CWE-434)

11位:NULL Pointer Dereference(CWE-476)

12位:Deserialization of Untrusted Data(CWE-502)

13位:Integer Overflow or Wraparound(CWE-190)

14位:Improper Authentication(CWE-287)

15位:Use of Hard-coded Credentials(CWE-798)

16位:Missing Authorization(CWE-862)

17位:Improper Neutralization of Special Elements used in a Command ('Command Injection')(CWE-77)

18位:Missing Authentication for Critical Function(CWE-306)

19位:Improper Restriction of Operations within the Bounds of a Memory Buffer(CWE-119)

20位:Incorrect Default Permissions(CWE-276)

21位:Server-Side Request Forgery (SSRF)(CWE-918)

22位:Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')(CWE-362)

23位:Uncontrolled Resource Consumption(CWE-400)

24位:Improper Restriction of XML External Entity Reference(CWE-611)

25位:Improper Control of Generation of Code ('Code Injection')(CWE-94)

■主要ポイント

昨年と比較すると以下の脆弱性が大きく順位をあげており、中でもCWE-362、CWE-94、CWE-400は今回のTop25に初ランクインとなっています。

・大きく順位を上げた脆弱性

 ★CWE-362 競合状態: 33位から22位

 ★CWE-94 コードインジェクション:28位から25位

 ★CWE-400 リソースの枯渇:27位から23位

 CWE-77 コマンドインジェクション:25位から17位

 CWE-476 NULLポインタリファレンス: 15位から11位

 ※★マークのものはTop25に新たにランクインした脆弱性