MITRE Announces Most Dangerous Software Weaknesses
2023/06/30 InfoSecurity — 米国政府が発表したのは、これまでの2年間において、最も一般的であり、影響力の大きかったソフトウェア欠陥のリストである。この CWE Top-25 リストは、Homeland Security Systems Engineering と Development Institute によりアナウンスされたが、Department of Homeland Security と 非営利団体 MITRE がサポートするものである。ソフトウェアの弱点とは、脆弱性につながるエラー/バグ/欠陥などを指すものだ。
CVE (Common Vulnerabilities and Exposures) は、発見された脆弱性を識別するための番号を提供するが、CWE (Common Weakness Enumeration) は、脆弱性の種類を示す用語集のようなものである。つまり、特定の脆弱性ではなく、ソフトウェアの弱点の種類を指している。
新たに発表されたリストのトップは “out-of-bounds write” であり、それにクロスサイト・スクリプティングと SQL インジェクションが続く。
米国の CISA は、「CWE Top 25 は、National Vulnerability Data (NVD) の公開脆弱性データを分析し、CWE へのマッピングを行うという、これまでの2年間の作業により算出されている。これらの弱点は、ソフトウェアの深刻な脆弱性につながるものだ。多くの場合において、これらの脆弱性を悪用する攻撃者は、システムの制御の不正な取得や、データの窃取、アプリケーションの妨害などを可能にしている」と説明している。
2023 CWE Top 25 には、CISA の Known Exploited Vulnerabilities Catalog (KEV) データセット内の、最近になって CVE レコードが更新された脆弱性データも組み込まれている。CISA は、開発者や製品のセキュリティ・チームに対して、Top-25 リストを確認し、推奨される緩和策を採用するよう促している。
また CISA は、今後の数週間にわたり、Top-25 の算出方法および、脆弱性マップの傾向などについて説明する記事を、掲載する予定だと説明している。このリスト外の注意すべき弱点や、実際の CWE の傾向、CISA KEV によるCWEのランク付けリストなどの、有益なトピックが掲載される予定だという。
CWE は、脆弱性の原因を回避すべき開発者やセキュリティ・チームにとって、ますます重要性を増している。2022年には、過去最多 (25,096件) の CVE が NVD に公開された。この値は、前年比で 25% 増であり、また、新たに発見された脆弱性の量は、6年連続で過去最高を記録している。
文中で説明されていますが、CVE は脆弱性を識別するための番号であり、CWE は脆弱性の種類を示すものとなります。したがって、CWE に関するデータを集め、統計を取ることで、脆弱性に関する傾向を把握できるようになります。そして、今回の MITRE の発表では、CISA KEV に含まれる CWE の件数も、後継結果の一部として参照されているようです。
IoT OT Security News 
You must be logged in to post a comment.