3万1770件の中から選んだ「最も危険なソフトウェア脆弱性トップ25」とは？：セキュリティニュースアラート

米国CISAとHSSEDIは「2024 CWE Top 25 Most Dangerous Software Weaknesses」を発表した。2024年版では3万1770件の中から、最も重大な25項目の脆弱性を選定している。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年11月20日（現地時間）、米国国土安全保障システム工学開発研究所（HSSEDI）と共同で「2024 CWE Top 25 Most Dangerous Software Weaknesses」を発表した。

　この年次リストはサイバー攻撃者が悪用する最も深刻なソフトウェアの脆弱（ぜいじゃく）性の種類を特定することを目的に公開されている。2024年版では3万1770件の脆弱性情報データベース（CVE）レコードを分析し、最も重大な25項目の脆弱性を選定した。

3万1770件の中なら選ばれた25個の“重大な脆弱性”の種類

　最も危険なソフトウェアの脆弱性トップ25は以下の通りだ。

1. CWE-79：　Cross-site Scripting
2. CWE-787：　Out-of-bounds Write
3. CWE-89：　SQL Injection
4. CWE-352：　Cross-Site Request Forgery（CSRF）
5. CWE-22：　Path Traversal
6. CWE-125：　Out-of-bounds Read
7. CWE-78：　OS Command Injection
8. CWE-416：　Use After Free
9. CWE-862：　Missing Authorization
10. CWE-434：　Unrestricted Upload of File with Dangerous Type
11. CWE-94：　Code Injection
12. CWE-20：　Improper Input Validation
13. CWE-77：　Command Injection
14. CWE-287：　Improper Authentication
15. CWE-269：　Improper Privilege Management
16. CWE-502：　Deserialization of Untrusted Data
17. CWE-200：　Exposure of Sensitive Information to an Unauthorized Actor
18. CWE-863：　Incorrect Authorization
19. CWE-918：　Server-Side Request Forgery（SSRF）
20. CWE-119：　Improper Restriction of Operations within the Bounds of a Memory Buffer
21. CWE-476：　NULL Pointer Dereference
22. CWE-798：　Use of Hard-coded Credentials
23. CWE-190：　Integer Overflow or Wraparound
24. CWE-400：　Uncontrolled Resource Consumption
25. CWE-306：　Missing Authentication for Critical Function

　このリストは政府機関や企業がサイバーセキュリティ戦略を策定する際の重要な指針となる。脆弱性の根本原因を特定することで開発者やセキュリティチームは脆弱性の削減や重点対策の導入、顧客信頼の向上といった成果を得られる。

　また、ソフトウェアやセキュリティ、リスクマネジメントへの投資において情報に基づいた意思決定を目指す企業にとっても戦略的なガイドとして役立つとしている。