MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025
2025/12/12 CyberSecurityNews — MITRE が公表したのは、2025年版 Common Weakness Enumeration (CWE) における最も危険なソフトウェアの脆弱性 Top-25 リストである。今年に登録された 39,080 件の Common Vulnerability and Exposure (CVE) の根本原因が、このリストにより明らかにされる。これらの蔓延する脆弱性は、多くの場合において検出と悪用が容易であり、攻撃者によるシステム制御の乗っ取り/機密データの窃取/アプリケーションの機能不全などを引き起こすものだ。それに対抗する開発者/セキュリティチーム/経営幹部は、この Top-25 リストにより、修正の優先順位付けと Software Development Lifecycles (SDLC) を再設定するためのロードマップを手にしたことになる。
この年次ランキングは、実際の CVE データに基づくものであり、サイバー脅威の激化に伴い重要性を増している。
依然として、インジェクション脆弱性とメモリ破損が大きな割合を占めるが、その変化が浮き彫りにするのはリスクの変化である。クロスサイト・スクリプティング脆弱性 (CWE-79) は、Known Exploited Vulnerabilities (KEV) において7件の登録を数え、依然としてトップの座を維持しているが、昨年よりは勢いを鈍らせている。
OS コマンド・インジェクション (CWE-78) は9位であり、20 件の KEV を記録し、引き続き深刻な脅威である。ただし、昨年の2位から大きく順位を下げている。
古典的なバッファ・オーバーフロー (CWE-120) や不適切なアクセス制御 (CWE-284) などの脆弱性がランクインしたのは、レガシー・コードベースにおけるメモリと認証の欠陥を示唆する。
メモリ安全性に関する問題 (例:バッファ・オーバーフロー) が頻発しており、安全性の高い Rust などの言語の採用が求められている。Web アプリはインジェクションと認証の問題に直面し、Use After Free のような脆弱性に対してはゼロトラストの精査が必要である。
2025年 CWE トップ25概要
| Rank | CWE ID & Name | CVEs in KEV | Rank Last Year |
|---|---|---|---|
| 1 | CWE-79: Cross-site Scripting | 7 | 1 |
| 2 | CWE-89: SQL Injection | 4 | 3 (↑1) |
| 3 | CWE-352: CSRF | 0 | 4 (↑1) |
| 4 | CWE-862: Missing Authorization | 0 | 9 (↑5) |
| 5 | CWE-787: Out-of-bounds Write | 12 | 2 (↓3) |
| 6 | CWE-22: Path Traversal | 10 | 5 (↓1) |
| 7 | CWE-416: Use After Free | 14 | 8 (↑1) |
| 8 | CWE-125: Out-of-bounds Read | 3 | 6 (↓2) |
| 9 | CWE-78: OS Command Injection | 20 | 7 (↓2) |
| 10 | CWE-94: Code Injection | 7 | 11 (↑1) |
| 11 | CWE-120: Classic Buffer Overflow | 0 | N/A |
| 12 | CWE-434: Unrestricted File Upload | 4 | 10 (↓2) |
| 13 | CWE-476: NULL Pointer Dereference | 0 | 21 (↑8) |
| 14 | CWE-121: Stack-based Buffer Overflow | 4 | N/A |
| 15 | CWE-502: Deserialization of Untrusted Data | 11 | 16 (↑1) |
| 16 | CWE-122: Heap-based Buffer Overflow | 6 | N/A |
| 17 | CWE-863: Incorrect Authorization | 4 | 18 (↑1) |
| 18 | CWE-20: Improper Input Validation | 2 | 12 (↓6) |
| 19 | CWE-284: Improper Access Control | 1 | N/A |
| 20 | CWE-200: Exposure of Sensitive Information | 1 | 17 (↓3) |
| 21 | CWE-306: Missing Authentication | 11 | 25 (↑4) |
| 22 | CWE-918: SSRF | 0 | 19 (↓3) |
| 23 | CWE-77: Command Injection | 2 | 13 (↓10) |
| 24 | CWE-639: Authorization Bypass | 0 | 30 (↑6) |
| 25 | CWE-770: Resource Allocation Without Limits | 0 | 26 (↑1) |
また、このリストは、業界をカバーするかたちで以下の対策を推進するものでもある。
- 脆弱性の削減:メモリ安全性のバグなどの根本原因を特定し、SDLC の改善を促す。
- コスト削減:欠陥が減れば、リリース後のパッチ適用も減る。
- 傾向分析:クラウドの拡大に伴い、認証バイパスの増加を追跡する。
- エクスプロイト可能性の優先順位付け:KEV 数から、差し迫った危険を察知する。
- 顧客の信頼:修正への公的なコミットメントにより顧客の信頼を構築する。
それぞれの組織は、このリストに照らしてコード・ベースを監査し、CWE チェックを CI/CD パイプラインに統合し、ベンダーに透明性の向上を働きかける必要がある。
この記事が示すように、1年の間に何万件もの新しい脆弱性が登録されますが、その根本原因を見てみると、古典的なインジェクション (CWE-79: クロスサイト・スクリプティング/CWE-89: SQLインジェクションなど) や、C/C++などの言語が原因となるメモリ破損 (CWE-787: Out-of-bounds Write など) が、依然として上位に居座っています。つまり、新しい技術が生まれても、入力値の不適切な検証やメモリ管理のミスといった基本的な設計上の欠陥が、システムの乗っ取りやデータ窃取を許す主な原因となっています。このリストは、修正の優先順位を示唆する、大切なロードマップです。よろしければ、CWE での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.