Yahoo!ニュース

MITRE、過去2年間で最も危険な脆弱性Top25を発表

大元隆志CISOアドバイザー
サイバー攻撃で悪用されるリスクの高い脆弱性Top25(写真:イメージマート)

MITREは、悪用される危険性の高いソフトウェア脆弱性トップ25を発表しました。このリストは、NISTの国家脆弱性データベース(NVD)、CISAの既知の脆弱性(KEV)カタログを分析対象とし、過去2年分の37,899件のCVEレコードの分析結果から作成されています。

このTop25を作成するにあたりMITRE独自のスコアリング方法が適用されており、悪用された時の影響度だけではなく、それが実際に利用されたか?システムに与える影響度等も考慮されています。例えば悪用された時の影響が非常に大きかったとしても、それを悪用された形跡が殆ど見られなかった脆弱性は得点が低くなり、悪用された時の影響度が小さかったとしても頻繁に利用されている脆弱性は得点が高くなるといった考慮がなされてます。

そのため、このTop25に掲載された脆弱性は攻撃に利用される頻度も高く、悪用された時の影響度も大きいと考えられるため、優先的に対策の必要な脆弱性となっています。

■危険な脆弱性Top25

1位:Out-of-bounds Write(CWE-787)

2位:Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')(CWE-79)

3位:Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')(CWE-89)

4位:Improper Input Validation(CWE-20)

5位:Out-of-bounds Read(CWE-125)

6位:Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')(CWE-78)

7位:Use After Free(CWE-416)

8位:Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')(CWE-22)

9位:Cross-Site Request Forgery (CSRF)(CWE-352)

10位:Unrestricted Upload of File with Dangerous Type(CWE-434)

11位:NULL Pointer Dereference(CWE-476)

12位:Deserialization of Untrusted Data(CWE-502)

13位:Integer Overflow or Wraparound(CWE-190)

14位:Improper Authentication(CWE-287)

15位:Use of Hard-coded Credentials(CWE-798)

16位:Missing Authorization(CWE-862)

17位:Improper Neutralization of Special Elements used in a Command ('Command Injection')(CWE-77)

18位:Missing Authentication for Critical Function(CWE-306)

19位:Improper Restriction of Operations within the Bounds of a Memory Buffer(CWE-119)

20位:Incorrect Default Permissions(CWE-276)

21位:Server-Side Request Forgery (SSRF)(CWE-918)

22位:Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')(CWE-362)

23位:Uncontrolled Resource Consumption(CWE-400)

24位:Improper Restriction of XML External Entity Reference(CWE-611)

25位:Improper Control of Generation of Code ('Code Injection')(CWE-94)

■主要ポイント

昨年と比較すると以下の脆弱性が大きく順位をあげており、中でもCWE-362、CWE-94、CWE-400は今回のTop25に初ランクインとなっています。

・大きく順位を上げた脆弱性

 ★CWE-362 競合状態: 33位から22位

 ★CWE-94 コードインジェクション:28位から25位

 ★CWE-400 リソースの枯渇:27位から23位

 CWE-77 コマンドインジェクション:25位から17位

 CWE-476 NULLポインタリファレンス: 15位から11位

 ※★マークのものはTop25に新たにランクインした脆弱性

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事