2025年版のCWE Top 25が公開 CISAが示す危険な脆弱性とは？：セキュリティニュースアラート

CISAは2025年版「CWE Top 25」を公表した。攻撃に悪用されやすいソフトウェア弱点を整理し、設計初期からの対策で被害低減と開発コスト抑制を促す狙いと、関係者別の指針を示している。

[後藤大地，ITmedia]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年12月11日（現地時間）、The MITRE Corporationが運営する米国国土安全保障システム工学開発研究所（HSSEDI）と連携し、「2025 CWE Top 25 Most Dangerous Software Weaknesses」を公表した。このリストは毎年更新されており、攻撃者が侵害やデータ窃取、サービス停止を狙う際に悪用しやすい弱点を示す情報とされている。

2025年に悪用されやすい脆弱性Top 25とは？

　今回まとめられたTop 25は、組織の弱点低減に寄与する点が強調された。特に開発工程の早期段階から注目すべき弱点を把握し、構造設計の改善や運用上の見直しを通じて、インジェクションやアクセス制御不備、メモリ関連の欠陥といった影響度の大きい問題の発生を減らす狙いが示されている。こうした弱点を前倒しで除去することは、後の修正費用の抑制にもつながる。運用後に緊急対応や設定変更を実施するより、展開前に弱点を取り除く方が負担が小さく効率的と評している。

　2025年版Top 25のうち、上位10件は次の通り。

1. CWE-79：　Webページ生成中の入力の不適切な無効化（クロスサイトスクリプティング）
2. CWE-89：　SQLコマンドに使用される特殊要素の不適切な無効化（SQLインジェクション）
3. CWE-352：　クロスサイトリクエストフォージェリ（CSRF）
4. CWE-862：　認証チェックがない
5. CWE-787：　範囲外書き込み
6. CWE-22：　制限ディレクトリへのパス名制限不備（パストラバーサル）
7. CWE-416：　解放後使用
8. CWE-125：　範囲外読み取り
9. CWE-78：　OSコマンドに使用される要素の不適切な無効化（OSコマンドインジェクション）
10. CWE-94：　コード生成の不適切な制御（コードインジェクション）

　Top 25は、2025年度の3万9080件のCVE記録に基づき、広く発生している弱点の根本的要因を抽出する。弱点の背景を明確化することは、製品開発や政策立案における投資判断の指標となり、発生段階での回避につながる利点を持つ。組織は弱点の削減や開発段階での費用抑制、発生傾向の把握、悪用されやすい弱点への優先対応、製品安全性に対し透明性の向上といった効果を得られる。

　弱点の特定や緩和に取り組む姿勢を示すことで、利用者や関係者からの信頼を確保しやすくなる点にも言及している。繰り返し発生する弱点への対応を重視する組織は、安全性を意識した製品群の形成に寄与する立場を示せる。利用者側にとっても、弱点の背景を理解する手掛かりとなり、堅牢（けんろう）な設計を取り入れた製品を選択する判断材料を得られる点が利点として述べられている。

　関係者別の推奨事項も提示された。開発者や製品担当者には、Top 25を参照し重点的に扱うべき弱点を把握し、Secure by Designの考え方を取り入れることが求められる。安全担当者には、弱点管理やアプリケーション検査の指標としてTop 25を活用し、重大な弱点の評価と緩和に組み込むことが示された。調達担当者やリスク管理担当者には、製品評価時の基準としてTop 25を使い、Secure by Demandの方針に沿って判断する姿勢が推奨されている。