CWE – IoT OT Security News

MITRE Top-25：2025年に猛威をふるった脆弱性を CWE でランキング

MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025

2025/12/12 CyberSecurityNews — MITRE が公表したのは、2025年版 Common Weakness Enumeration (CWE) における最も危険なソフトウェアの脆弱性 Top-25 リストである。今年に登録された 39,080 件の Common Vulnerability and Exposure (CVE) の根本原因が、このリストにより明らかにされる。これらの蔓延する脆弱性は、多くの場合において検出と悪用が容易であり、攻撃者によるシステム制御の乗っ取り／機密データの窃取／アプリケーションの機能不全などを引き起こすものだ。それに対抗する開発者／セキュリティチーム／経営幹部は、この Top-25 リストにより、修正の優先順位付けと Software Development Lifecycles (SDLC) を再設定するためのロードマップを手にしたことになる。

CVE Program の危機が回避された：CISA から MITRE への資金提供の継続が決定

CISA Extends CVE Program Funding to Prevent Critical Service Disruption

2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。

CVE プログラムの未来を担う CVE Foundation が発足：グローバルな脆弱性管理体制へ

CVE Foundation Launched to Secure Vulnerability Tracking

2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。

CVE プログラムに対する政府資金が終了：MITRE が懸念するセキュリティ分野への影響

MITRE warns that funding for critical CVE program expires today

2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。

2024年の CVE データを総括：40,000件以上の脆弱性が公開された

Vulnerability Overload: 40,000+ CVEs in 2024

2025/01/06 SecurityOnline — 毎年恒例の CVE Data Review 2024年版を、セキュリティ研究者である Jerry Gamblin が公開した。この年の CVE 件数は、前例のない急増を見せ、過去最多の 40,009件に達した。この数字は、2023年の 28,902件と比べて 38% の増加であり、CVE の記録更新は７年連続となった。

MITRE が公開した 2024 CWE Top-25 リスト：注視すべき脆弱性のカテゴリとは？

2024 CWE Top 25: Critical Software Weaknesses Revealed

2024/11/20 SecurityOnline — 2024年の CWE (Common Weakness Enumeration) Top 25 が発表された。このリストは、現代のソフトウェア・システムへの攻撃で悪用されがちであり、最も危険な脆弱性に対処するための、重要なロードマップとなる。このリストは、31,770件の CVE (Common Vulnerabilities and Exposures) レコードの分析に基づき、攻撃者が悪用し得る、最も深刻なソフトウェアの脆弱性を浮き彫りにしている。

CISA／FBI の共同警告：パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請

CISA urges software devs to weed out path traversal vulnerabilities

2024/05/02 BleepingComputer — 5月2日 (木) にCISA と FBI が公開した共同勧告は、ソフトウェア会社に対して、自社製品をリリース前に見直し、パス・トラバーサルの脆弱性を修正するよう求めるものだ。ディレクトリ・トラバーサルとも呼ばれる、パス・トラバーサル脆弱性の悪用に成功した攻撃者は、重要なファイルの作成／上書きを行い、認証などのセキュリティ・メカニズムをバイパスし、コード実行を引き起こす可能性を持つ。さらに、脅威アクターに対して、機密データへのアクセスを許してしまう可能性もある。もし、認証情報が盗まれた場合には、その後の、標的システムへの侵入において、既存アカウントへのブルートフォース (総当り) 攻撃に悪用されるケースもある。

NIST NVD の障害：サイバーセキュリティの専門家たちが運用再開の支援を米議会に要請

Cybersecurity Pros Urge US Congress to Help NIST Restore NVD Operation

2024/04/16 InfoSecurity — 米国の NVD (National Vulnerability Database) の問題が長引けば、サプライチェーンのセキュリティに大きな危機が生じかねないと、複数の脆弱性管理コミュニティーが警告を発している。“A cybersecurity crisis in waiting: On the Need to Restore and Enhance Operations with the National Vulnerability Database” という公開書簡が、米商務長官の Gina Raimondo と、複数の米議会議員のもとに送られたのは、4月12日のことである。その書簡には、サイバー・セキュリティの専門家たち 50人が署名しているという。

NIST NVD の新たなコンソーシアム設立が決定：FIRST カンファレンスでの発表とは？

NIST Unveils New Consortium to Operate its National Vulnerability Database

2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。

NIST NVD の障害：CVE に紐づくはずのメタデータが提供されていない

NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold

2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。

MITRE が公開した CWE Top-25 リスト 2023年版：CISA KEV との連携が強化されている

MITRE Announces Most Dangerous Software Weaknesses

2023/06/30 InfoSecurity — 米国政府が発表したのは、これまでの２年間において、最も一般的であり、影響力の大きかったソフトウェア欠陥のリストである。この CWE Top-25 リストは、Homeland Security Systems Engineering と Development Institute によりアナウンスされたが、Department of Homeland Security と非営利団体 MITRE がサポートするものである。ソフトウェアの弱点とは、脆弱性につながるエラー／バグ／欠陥などを指すものだ。

2021 調査：288種類の脆弱性を悪用する 157 のランサムウェア・ファミリー

Ransomware families becoming more sophisticated with newer attack methods

2022/01/28 HelpNetSecurity — Ivanti／Cyber Security Works／Cyware の三社は、2021年には 32種類のランサムウェア・ファミリーが登場し、合計 157種類となり、前年比で 26％増になったことを Ransomware 2021 Year End Report で明らかにした。同レポートによると、これらのランサムウェアは、パッチが適用されていない脆弱性を標的とし、ゼロデイ脆弱性を記録的な速さで武器化し、致命的な攻撃を仕掛けることが判明した。また、これらのランサムウェア・グループは、攻撃範囲を拡大し、組織のネットワークを危険にさらす新たな方法を見つけ出し、大きなインパクトを与える攻撃を大胆に仕掛けている。

MITRE／CISA が発行した重視すべきハードウェア脆弱性リスト 2021 とは？

MITRE and CISA publish the 2021 list of most common hardware weaknesses

2021/10/30 SecurityAffairs — MITRE と CISA (Cybersecurity and Infrastructure Security Agency) が、2021 Common Weakness Enumeration (CWE) Most Important Hardware Weaknesses リストを発表した。

脅威モデリングを自動化する時代へと突入する？

Threat Modeling in the Age of Automation

2021/07/16 SecurityBoulevard — サイバー・セキュリティの脅威は急速に増加しており、アプリケーションを構築する企業は、将来の攻撃に耐えるためのコアとなる脅威モデルを含めて、予防原則に基づくセキュリティ対策を検討するようになってきた。しかし、Security Compass の最近の調査によると、ソフトウェア開発の初期段階 (要件の収集／設計) において、脅威モデルを取り入れている企業はわずか 25% だった。さらに、開発したアプリケーションの 90％以上において、脅威モデルを取り入れていると回答した企業は 10％未満であり、脅威モデルの自動化や統合において半数以上の企業が課題を抱えていることが分かった。