MITRE が 2022年版 CWE Top-25 をリリース:NVD と CISA のデータを活用

Mitre shared 2022 CWE Top 25 most dangerous software weaknesses

2022/06/29 SecurityAffairs — MITRE が、2022年版の CWE Top-25 をリリースした。2022年において、最も危険な弱点 Top-25 を集めたリストは、組織が内部インフラを評価し、その攻撃対象領域を特定するのに役立てられる。組織のインフラ内に、これらの脆弱性が存在すると、潜在的に広範な攻撃にさらされる可能性がある。

MITRE のアナウンスメントには、「CWE Top-25 は、現在において最も一般的で影響力のあるソフトウェアの脆弱性を提示している。これらの脆弱性は、多くの場合において、簡単な発見/悪用が可能であるため、攻撃者によるシステムの完全な乗っ取り/データ窃取/アプリケーションの動作停止などにつながる可能性がある。このリストは、ソフトウェアを扱う多くのプロフェッショナルにとって、リスクを軽減するための実用的で便利なリソースとなるだろう。それらの人々には、ソフトウェア・アーキテクト/デザイナー/開発者/テスター/ユーザー/プロジェクト・マネージャー/セキュリティ研究者/教育者などが含まれる」と記載されている。

MITRE は、2022年版 CWE-Top 25 の作成において、National Institute of Standards and Technology (NIST) の National Vulnerability Database (NVD) で用いられた、CVE データ/CVSS スコアを活用している。また、CISA のKnown Exploited Vulnerabilities (KEV) Catalog の CVE レコードを使用し、普及率/重大性に基づき、各脆弱性にスコアを付けるための数式を適用している。

MITRE の研究者たちが、CWE Top-25 を算出するために分析したデータセットには、過去 2年間における合計 37,899 件の CVE レコードが含まれている。

2022 CWE Top-25 は以下の通り:


また、MITRE は、Trends Year-over-Year: 2019 to 2022 Lists もリリースした。

1つ目の傾向として、2019年〜2022年の Top 25 の著しい変化が挙げられる。CWE-119/CWE-200 などの、ハイレベル・クラスの低下が激しく、CWE-787/CWE-502 などの弱点では、Base レベルへのシフトと顕著な増加がみられる。

2つ目の傾向は、2021年〜2022年の Top-10 が比較的安定していることが挙げられる。また、CWE-502 (Deserialization of Untrusted Data) が、4年間を通じて増加し続けている点も挙げられる。

お隣のキュレーション・チームが、いつもお世話になっている MITER です。感想を聞いてみたら、Top-5 である、CWE-787:境界外書き込み/CWE-79:クロスサイト・スクリプティング/CWE-89:SQL インジェクション/CWE-20:不適切な入力検証/CWE-125:境界外読取りの中では、CWE-787 と CWE-79 が、図抜けて多いように思えると、言っていました。MITRE 関連の記事としては、2021年10月の「MITRE/CISA が発行した重視すべきハードウェア脆弱性リスト 2021 とは?」もあります。よろしければ、ご参照ください。

%d bloggers like this: