米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。
CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。
- CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
- CWE-787:範囲外の書き込み
- CWE-20:不適切な入力検証
- CWE-125:範囲外の読み取り
- CWE-119:メモリバッファ境界内での処理の不適切な制限
- CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
- CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
- CWE-416:解放したメモリの使用
- CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
- CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
- CWE-190:整数オーバーフローまたはラップ・アラウンド
- CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
- CWE-476:NULLポインター逆参照
- CWE-287:不適切な認証
- CWE-434:危険なタイプのファイルのアップロード制限なし
- CWE-732:重要なリソースへの誤った権限割当て
- CWE-94:制御コードの不適切な生成(コード・インジェクション)
- CWE-522:十分でない資格情報保護
- CWE-611:XML外部エンティティ参照の不適切な制限
- CWE-798:資格情報がハードコーディングされている問題
- CWE-502:信頼できないデータの逆シリアル化
- CWE-269:不適切な権限管理
- CWE-400:リソース消費の不適切な制限
- CWE-306:重要機能の使用に対する認証の欠如
- CWE-862:認可の欠如
CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。
【参照ページ】2020 CWE Top 25 Most Dangerous Software Weaknesses
Sustainable Japanの特長
Sustainable Japanは、サステナビリティ・ESGに関する
様々な情報収集を効率化できる専門メディアです。
- 時価総額上位100社の96%が登録済
- 業界第一人者が編集長
- 7記事/日程度追加、合計11,000以上の記事を読める
- 重要ニュースをウェビナーで分かりやすく解説※1
さらに詳しく ログインする※1:重要ニュース解説ウェビナー「SJダイジェスト」。詳細はこちら