Monthly PickUp：2025-01

CVE Data Review 2024

• CVE (Common Vulnerabilities and Exposures：共通脆弱性識別子)
  • 2024年のCVE公開数：過去最多の40,009件
    • 2023年から38%増、7年連続
    • 2023：28,902／2022：25,093
  • 月間：最も多く公開されたのは5月の5,010件（最多は5月3日の845件）
  • 日間：平均108件／日

• CVSS（Common Vulnerability Scoring System）
  • 平均値：6.67 Moderate〜High (2023年は7.12）
  • 最高値10.0：231件（2023年は36件）

• CWE (Common Weakness Enumeration) 
  • 940種あるCWEのうち最多は CWE-79 (XSS：cross-site scripting) 全CVEの15.56%
  • ２番目：15.73%：CWE が割り当てられていない

• CISA KEV カタログ (Known Exploited Vulnerabilities Catalog) へ登録されたCVE
• 186件（2023年：187件）

CVE公開数増加の背景

• CNA (CVE 番号付与機関 CNA：CVE Numbering Authorities) 機関の増加
  • 2024年は433の組織が共同で 17,473件のCVEを公表（2024年の公表件数の 43.67%に相当）
    • 2023年は346組織／6,778件
  • 2024年のCNA Top5：Patchstack／VulDB／GitHub／Kernel.org／Wordfence
    • オープンソース・プロジェクトや  WordPress プラグインの脆弱性を調査するために設立された機関
    • Kernel.org（4,325件）←Linux Kernel 2024/2/13に加入
    • Wordfence（3,525件）

• 各ベンダのCVE割り当ての動き
  • 2024/11/13：Google Cloud の新たな取組：クラウド脆弱性に対する CVE の割り当てを開始
  • 2024/06/30：Microsoft の大転換：クラウドの脆弱性に対しても CVE を発行する！
  • 2025/01/09：Node.js の新たな試みによるセキュリティの強化：EoL バージョンに対する CVE の発行

今後の動向

• 2015/01/16：バイデン大統領が新たな大統領令に署名：米国の新たなセキュリティ政策が始動

関連記事

• 2024 CVE Data Review – JerryGamblin.com
• 2024 CWE Top 25
• CVE – mitre
• Known Exploited Vulnerabilities Catalog – CISA
• CVE Numbering Authorities (CNAs) – MITRE