MITREは、2024年6月から2025年6月の間に公開された39,000件以上のセキュリティ脆弱性の背後にある、最も危険なソフトウェアの弱点の今年のトップ25リストを共有しました。
このリストは、Common Weakness Enumeration(CWE)プログラムを管理・主催するHomeland Security Systems Engineering and Development Institute(HSSEDI)およびCybersecurity and Infrastructure Security Agency(CISA)と協力して発表された。
ソフトウェアの弱点とは、ソフトウェアのコード、実装、アーキテクチャ、設計に見られる欠陥、バグ、脆弱性、エラーのことであり、攻撃者はこれらを悪用して脆弱なソフトウェアを実行するシステムに侵入することができる。悪用に成功すると、脅威者は侵害されたデバイスを制御できるようになり、サービス拒否攻撃や機密データへのアクセスが可能になります。
今年のランキングを作成するために、MITREは、2024年6月1日から2025年6月1日までに報告された脆弱性に関する39,080件のCVEレコードを分析した後、各脆弱性の深刻度と頻度に基づいて採点しました。
クロスサイト・スクリプティング」(CWE-79)が依然としてトップ25の上位を維持している一方で、「認証の欠落」(CWE-862)、「ヌル・ポインタの非参照」(CWE-476)、「認証の欠落」(CWE-306)など、昨年のランキングから順位が大きく変動したものも多くありました。
また、「Classic Buffer Overflow(CWE-120)」、「Stack-based Buffer Overflow(CWE-121)」、「Heap-based Buffer Overflow(CWE-122)」、「Improper Access Control(CWE-284)」、「Authorization Bypass through User-Controlled Key(CWE-639)」、「Allocation of Resources Without Limits or Throttling(CWE-770)」が新たにランクインしています。
| ランク | ID | 名称 | スコア | KEV CVEs | 変化 |
|---|---|---|---|---|---|
| 1 | CWE-79 | クロスサイトスクリプティング | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQLインジェクション | 28.72 | 4 | +1 |
| 3 | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | 認証の欠落 | 13.28 | 0 | +5 |
| 5 | CWE-787 | アウトオブバウンズ書き込み | 12.68 | 12 | -3 |
| 6 | CWE-22 | パス・トラバーサル | 8.99 | 10 | -1 |
| 7 | CWE-416 | フリー後の使用 | 8.47 | 14 | +1 |
| 8 | CWE-125 | アウトオブバウンズリード | 7.88 | 3 | -2 |
| 9 | CWE-78 | OS コマンドインジェクション | 7.85 | 20 | -2 |
| 10 | CWE-94 | コード・インジェクション | 7.57 | 7 | +1 |
| 11 | CWE-120 | クラシックバッファオーバーフロー | 6.96 | 0 | 該当なし |
| 12 | CWE-434 | 危険なタイプのファイルの無制限アップロード | 6.87 | 4 | -2 |
| 13 | CWE-476 | NULL ポインタ参照 | 6.41 | 0 | +8 |
| 14 | CWE-121 | スタックベースのバッファオーバフロー | 5.75 | 4 | 該当なし |
| 15 | CWE-502 | 信頼できないデータのデシリアライズ | 5.23 | 11 | +1 |
| 16 | CWE-122 | ヒープベースのバッファオーバフロー | 5.21 | 6 | 該当なし |
| 17 | CWE-863 | 不正な認証 | 4.14 | 4 | +1 |
| 18 | CWE-20 | 不適切な入力検証 | 4.09 | 2 | -6 |
| 19 | CWE-284 | 不適切なアクセス制御 | 4.07 | 1 | 該当なし |
| 20 | CWE-200 | 機密情報の暴露 | 4.01 | 1 | -3 |
| 21 | CWE-306 | クリティカルファンクションの認証漏れ | 3.47 | 11 | +4 |
| 22 | CWE-918 | サーバサイドリクエストフォージェリ (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | コマンド・インジェクション | 3.15 | 2 | -10 |
| 24 | CWE-639 | ユーザー制御キーによる認証バイパス | 2.62 | 0 | +6 |
| 25 | CWE-770 | 制限やスロットリングのないリソース配分 | 2.54 | 0 | +1 |
「これらの脆弱性を悪用することで、敵はシステムを完全に乗っ取ったり、データを盗んだり、アプリケーションの動作を妨害したりすることができます。
「この年次リストは、敵対者がシステムを侵害し、データを盗み、サービスを妨害するために悪用する最も重大な脆弱性を特定するものです。CISAとMITREは、各組織がこのリストを確認し、各自のソフトウェア・セキュリティ戦略に役立てることを推奨しています。
近年、CISAは、利用可能な緩和策にもかかわらずソフトウェアに残っている、広く文書化された脆弱性の蔓延にスポットライトを当てた複数の「Secure by Design」アラートを発表している。
これらのアラートの中には、2024年7月に、Cisco、Palo Alto、Ivantiのネットワーク・エッジ・デバイスを標的とした攻撃で、中国のVelvet Ant国家ハッカーが悪用したパスOSコマンド・インジェクションの弱点を排除するよう技術企業に求めたアラートなど、現在進行中の悪意あるキャンペーンに対応して発表されたものもある。
今週、サイバーセキュリティ機関は、開発者や製品チームに対し、2025年CWEトップ25をレビューして主要な弱点を特定し、セキュア・バイ・デザインの実践を採用するよう助言し、セキュリティチームに対しては、アプリのセキュリティテストや脆弱性管理プロセスに統合するよう求めた。
2025年4月、CISAはまた、CVEとCWEプログラムに対する政府資金が期限切れになるというMITREのヨスリー・バルスーム副社長の警告を受け、米国政府が重要なCVE(Common Vulnerabilities and Exposures)プログラムの継続性を確保するため、MITREの資金提供をさらに11カ月間延長したことを発表しました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments