Vulnerability Overload: 40,000+ CVEs in 2024
2025/01/06 SecurityOnline — 毎年恒例の CVE Data Review 2024年版を、セキュリティ研究者である Jerry Gamblin が公開した。この年の CVE 件数は、前例のない急増を見せ、過去最多の 40,009件に達した。この数字は、2023年の 28,902件と比べて 38% の増加であり、CVE の記録更新は7年連続となった。
2024年の CVE 統計データ
- デイリーの公開数:2024年は、平均で 108件/日の CVE が公開された。最も公開件数が多かったのは火曜日であり、年間における公開件数の 24.3%を占めている。
- 公開が最も多かった月:CVE が最も多く公開されたのは、5月の 5,010件である。また、最多の公開日となった 5月3日には、845件の脆弱性が公開された。
- 公開数の推移:CVE の公開数は、2017年から7年連続で増加し続けており、2024年には 40,009件の CVE が公開された。この数字は、これまでに公開された、すべての CVE のうちの、15.32% を占めている。
深刻度の平均
2024年に公開された脆弱性の、平均 CVSS スコアは 6.67 (深刻度:Moderate〜High) である。特筆すべき点を以下に記す:
- Critical な脆弱性:231件の脆弱性が、CVSS スコアの最高値である 10.0 (深刻度:Critical) を記録した。
- Low-End Outlier:脆弱性 CVE-2024-2365 は、影響が限定的であることを示す、最小スコア 1.6 を記録した。
注目の CVE
特筆すべき脆弱性の1つとして挙げられるのは、Cisco IOS/IOS XE ソフトウェアの RSVP (Resource Reservation Protocol) 機能に関連する、脆弱性 CVE-2024-20433 である。この CVE だけで、2,434 種類のコンフィグレーションを網羅しており、その広範な影響を示している。
CNA の役割
CVE 番号付与機関 (CNA:CVE Numbering Authorities) が重要な役割を果たした2024年には、認定された 433 の組織が共同で CVE を公表した。
2024年の CNA の Top5 (Patchstack/Kernel.org/Wordfence/VulDB/GitHub) は、オープンソース・プロジェクトや WordPress プラグインの脆弱性を調査するために設立されたものだ。これらの CNA は、2024年の公表件数の 43.67% にあたる、17,473 件の CVE を公開した。
CWE の傾向と今後の課題
CWE (Common Weakness Enumeration) とは、ソフトウェアおよびハードウェアの脆弱性タイプの一覧である。CWE は、セキュリティ・ツールのベンチマークのための共通言語として提供され、脆弱性の特定/緩和/防止の指針として機能する。2024年に割り当てられた CWE の傾向は以下の通りである:
- 15.73% の CVE には、CWE が割り当てられていない。それが示すのは、分類の改善の必要性である。
- 940種ある CWE のうち、最も多かった CWE は CWE-79 (XSS:cross-site scripting) であり、全 CVE の 15.56%を占めている。
2024年に公開された脆弱性は、CVE ベースで 40,000件を超えたようです。3,000件/月を上回るペースであり、目の眩むような状況となっています。お隣のキュレーション・チームが使っている Vuldb にも、2024年は 40,112件だと記されています。これだけある脆弱性を、どのように絞り込んで、対処していくべきなのでしょうか? よろしければ、カテゴリ Statistics も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.