2024 CWE Top 25 が発表
★CWE Top 25 Most Dangerous Software Weaknesses とは
・米国の MITRE と CISA が共同で毎年作成している、主に NVD 内の脆弱性データを分析し、最も重大かつ一般的なソフトウェア脆弱性 (CWE)をランク付けしたリスト
・弱点が攻撃者に利用される可能性や、その結果引き起こされる損害の程度を反映
★リストの目的と期待される効果
- 脆弱性の低減:よくある根本原因に対する洞察により、ベンダーの SDLC やアーキテクチャ計画に貴重なフィードバックがもたらされ、特定の欠陥(メモリ安全性、インジェクションなど)の排除に役立つ。
- コスト削減:製品開発における脆弱性が減少すれば、導入後の管理問題も減り、最終的にはコストとリソースを削減できる。
- 傾向分析:データ傾向に関する洞察により、組織はセキュリティ対策をより効果的に実施できる。
- 悪用可能性に関する洞察 – コマンドインジェクションなどの特定の脆弱性は、敵対者の注意を引き、リスクの優先順位付けが可能になる。
- 顧客からの信頼 – 組織がこれらの脆弱性に対処する方法が透明化されることで、製品セキュリティへの取り組みが示される
2024年版での新しい取り組み (CISA)
・2023/6/1〜2024/6/1の間に公開された脆弱性に関する 31,770 件の CVE
・評価基準に 深刻度 (Severity) と脆弱性の頻度 (Frequency) が追加
・148 の CNA (CVE 採番機関) がリスト作成に参加
2024 CWE Top 25 の傾向
★インジェクション系の脆弱性:依然として最大の懸念事項
Top 10 に、インジェクションの脆弱性である XSS (CWE-79)/SQL インジェクション (CWE-89)/OS コマンド・インジェクション (CWE-78) がランクインしている。インジェクション系の脆弱性は、システムへの悪意のコードの注入を攻撃者に許すものであり、データ漏洩/システム侵害/サービス妨害攻撃などにつながる可能性がある。
★メモリ・セーフティに関する脆弱性
2位に境界外書き込み (CWE-787:Out-of-bounds Write) と、6位に境界外読み取り (CWE-125:Out-of-bounds Read) が、それぞれランクインしている。これらの脆弱性が悪用されると、重要なデータへの上書や、機密情報への不正アクセスなどが生じる恐れがある。
★認証に関する脆弱性
9位に認証の欠落 (CWE-862:Missing Authorization) 、14位に不適切な認証 (CWE-287:Improper Authentication) がランクインしている。これらの脆弱性の悪用に成功した攻撃者は、セキュリティ対策を回避し、機密データや機能へのアクセスを可能にする。
リスクを軽減するための推奨事項 (CISA)
★開発者および製品チーム
2024 CWE Top 25 を確認し、優先度の高い脆弱性を特定し、開発プロセスに Secure by Design の手法を採用する。
★セキュリティチーム
CWE Top 25 を脆弱性管理およびアプリケーション・セキュリティ・テストの手法に取り入れ、最も重大な脆弱性の評価/緩和を行う。
★調達およびリスク管理マネージャー
ベンダーを評価する際のベンチマークとして CWE Top 25 を使用し、Secure by Demand ガイドラインを適用して、組織が安全な製品に投資していることを確認する。
IoT OT Security News 