2024 CWE Top 25: Critical Software Weaknesses Revealed
2024/11/20 SecurityOnline — 2024年の CWE (Common Weakness Enumeration) Top 25 が発表された。このリストは、現代のソフトウェア・システムへの攻撃で悪用されがちであり、最も危険な脆弱性に対処するための、重要なロードマップとなる。このリストは、31,770件の CVE (Common Vulnerabilities and Exposures) レコードの分析に基づき、攻撃者が悪用し得る、最も深刻なソフトウェアの脆弱性を浮き彫りにしている。
2024 CWE Top 25 の要点
- インジェクション系の脆弱性:依然として最大の懸念事項である
2024 CWE Top 25 のトップは、XSS (CWE-79) であり、同様のインジェクションの脆弱性である SQL インジェクション (CWE-89)/OS コマンド・インジェクション (CWE-78) も、Top 10 にランクインしている。インジェクション系の脆弱性は、システムへの悪意のコードの注入を攻撃者に許すものであり、データ漏洩/システム侵害/サービス妨害攻撃などにつながる可能性がある。 - メモリ・セーフティに関する脆弱性
境界外書き込み (CWE-787:Out-of-bounds Write) と、境界外読み取り (CWE-125:Out-of-bounds Read) が、2位と6位にランクインしている。これらの脆弱性が悪用されると、重要なデータへの上書や、機密情報への不正アクセスなどが生じる恐れがある。 - 認証に関する脆弱性
認証の欠落 (CWE-862:Missing Authorization) と不適切な認証 (CWE-287:Improper Authentication) も上位にランクインしている。これらの脆弱性の悪用に成功した攻撃者は、セキュリティ対策を回避し、機密データや機能へのアクセスを可能にする。
これらのリスクを軽減するためには、何をすればよいのだろうか?
- セキュア・コーディングの優先的な実践:開発者にとって必要なことは、安全なコーディング技術に関するトレーニングを受け、ベスト・プラクティスに従うことである。それにより、ソフトウェアへの脆弱性の取り込みを抑制できる。
- 堅牢なセキュリティ・テストの実施:侵入テストやコード・レビューなどを含む、徹底的なテストを実施することで、脆弱性が悪用される前に、その存在を特定し、対処することが可能になる。
- 新たな脅威に関する情報の入手:セキュリティ脅威と脆弱性に関する、最新の情報を入手し、潜在的なリスクに対して先手を打つべきだ。
2024 CWE Top 25は、開発者/セキュリティ専門家/組織にとって貴重なリソースである。これらの脆弱性を理解し、先手を打って緩和することで、ソフトウェアのセキュリティを向上させ、システムを攻撃から守ることが可能となる。
MITRE の CWE Top-25 2024 リストが発表されました。このブログを運営していて感じるのも、やはりインジェクション系の脆弱性の多さです。2023/06/30 の「MITRE が公開した CWE Top-25 リスト 2023年版:CISA KEV との連携が強化されている」を見ると、1位が境界外メモリへの書き込みで、2位が XSS になっていました。よろしければ、MITRE で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.