MITRE／CISA による CWE Top-25 リスト 2024年版：評価基準の更新と CNA の参加

Cross-Site Scripting Is 2024’s Most Dangerous Software Weakness

2024/11/22 DarkReading — 2024年に最も影響力の大きかったソフトウェア欠陥のリスト”2024 CWE Top 25 Most Dangerous Software Weaknesses” が公開された。この CWE リストは、MITRE と CISA により毎年作成されているが、2024年の評価基準には、深刻度 (Severity) と頻度 (Frequency) が追加された。新しい評価方法により、2024年で最も危険なソフトウェア欠陥のランキングは大きく変動した。その一方では、依然として根強く残る古典的な脅威が、組織にとって最大のリスクであることが証明され、安全なコードへの継続的な注力と投資の必要性が改めて浮き彫りとなった。

この CWE リストの作成方法を示す 2024 CWE Top 25 Methodology には、「悪用の可能性があっても、悪用の頻度が低い脆弱性に対しては、高い Frequency スコアが付与されることはない。その一方で、高い頻度で悪用され、深刻な被害をもたらした脆弱性には、最高スコアが付与される」と記されている。

2024 CWE Top 25 による、2024年の Top 5 は下記の通りだ：

１位：CWE-79 XSS (cross-site scripting) (昨年２位)
２位：CWE-787 境界外書き込み (昨年１位)
３位：CWE-89 SQL インジェクション（昨年３位)
４位：CWE-352 CSRF (cross-site request forgery) (昨年９位）
５位：CWE-22 パス・トラバーサル (昨年8位)

MITRE の CVE プログラムのプロジェクト・リーダーであり、リスト作成者の一人である Alec Summers は、「このリスト全体を通して、たしかに多少の順位変動は見られるが、CWE-79／CWE-89／CWE-125 などの脆弱性は存在し続けている。それらを含む厄介な脆弱性が、常連として Top 25 にランクインしていることが、継続的な懸念事項である」と述べている。

2024年のランキングにおいて、Summers が指摘する唯一の大きな変化は、CRSF が昨年の９位から４位に上昇したことである。彼は、「脆弱性の研究者たちが、これまで以上に CSRF を重視したことを、反映しているのかもしれない。あるいは、CSRF の検出が改善されたのかもしれない。さらに言うなら、より多くの攻撃者が、この種の脆弱性に注目するようになったのかもしれない。実際のところ、これほどまでに急上昇した理由を、正確に特定することは難しい」とコメントしている。

ソフトウェアの脆弱性が増え続けるだけではなく、SDLC (Software Development Life Cycle) とソフトウェア・サプライチェーンが複雑さを増している。したがって、組織おいて重要になるのは、日常的な脆弱性が深刻な問題となる前に、自社のシステムを適切に管理することだと、Summers は指摘する。

彼は、「組織に対して強く推奨されるのは、自社のソフトウェア・セキュリティ戦略の指針として、この CWE Top 25 リストを精査し、活用することだ。開発／調達の両プロセスにおいて、優先順位を付けることができれば、これまで以上にユーザー組織は、積極的な姿勢でリスクに対処できる」と述べている。

ソフトウェア・サプライチェーンの強化は、まず自社から

こうした取り組みは、ソフトウェア・サプライチェーン全体に拡大すべきであると、Summers は付け加えている。

彼は、「CVE と CWE からなる根本原因マッピングを組織が採用し、サプライヤーに対しても、その採用を求めることが重要になってきた。それにより、組織の SDLC とアーキテクチャ設計計画に対して、貴重なフィードバック・ループが組み込まれ、製品のセキュリティ向上に加えて、コスト削減も達成されていく。製品開発の段階で、排除すべき脆弱性を消し込めれば、デプロイ後における脆弱性の管理も少なくて済む」と強調する。

この記事では、2024年に取り入れられた新しい評価基準について説明し、大きなリスクをもたらすソフトウェア欠陥を判断する方式を解説してきた。その一方で、2024年は、CWE プログラムの取り組みに、CVE 番号付与機関 (CNA：CVE Numbering Authorities) コミュニティが初めて参加した年となった。CVE.org によると、現時点において 40か国に 421 の CNA が存在しているが、そのうちの 148 の CNA が、今年の CWE リスト作成に協力したとのことだ。

MITREによる CWE Top-25 リストの 2024年版が公表されました。この記事では、2023年との比較と、今年から導入された評価基準について、解説されています。よろしければ、以下のリストも、ご参照ください。

MITRE が公開した CWE Top-25 リスト 2023年版
MITRE が CWE Top-25 の 2022年版をリリース