MITREは、2024年6月から2025年6月の間に公開された39,000件超のセキュリティ脆弱性の背後にある、最も危険なソフトウェアの脆弱性トップ25リストの今年版を公開しました。
このリストは、共通脆弱性タイプ一覧(CWE)プログラムを管理・支援するHomeland Security Systems Engineering and Development Institute(HSSEDI)およびサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)との協力のもとで公開されました。
ソフトウェアの脆弱性は、ソフトウェアのコード、実装、アーキテクチャ、または設計に存在する欠陥、バグ、脆弱性、エラーなどを指し、攻撃者はそれらを悪用して、脆弱なソフトウェアが動作するシステムに侵入することができます。悪用に成功すると、脅威アクターは侵害されたデバイスを制御し、サービス拒否(DoS)攻撃を引き起こしたり、機密データへアクセスしたりすることが可能になります。
今年のランキングを作成するにあたり、MITREは2024年6月1日から2025年6月1日までに報告された脆弱性について39,080件のCVEレコードを分析し、それぞれの脆弱性を深刻度と発生頻度に基づいてスコアリングしました。
クロスサイトスクリプティング(CWE-79)は依然としてトップ25の首位を維持していますが、今年のリストでは、認可の欠如(CWE-862)、NULLポインタ参照(CWE-476)、認証の欠如(CWE-306)など、昨年から大きく順位を上げた項目を含め、多くの順位変動が見られました。
今年の最も深刻かつ蔓延している脆弱性の新規エントリは、クラシックバッファオーバーフロー(CWE-120)、スタックベースバッファオーバーフロー(CWE-121)、ヒープベースバッファオーバーフロー(CWE-122)、不適切なアクセス制御(CWE-284)、ユーザー制御キーによる認可バイパス(CWE-639)、および制限やスロットリングなしのリソース割り当て(CWE-770)です。
| 順位 | ID | 名称 | スコア | KEV CVE数 | 変動 |
|---|---|---|---|---|---|
| 1 | CWE-79 | クロスサイトスクリプティング | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQLインジェクション | 28.72 | 4 | +1 |
| 3 | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | 認可の欠如 | 13.28 | 0 | +5 |
| 5 | CWE-787 | 範囲外書き込み | 12.68 | 12 | -3 |
| 6 | CWE-22 | パストラバーサル | 8.99 | 10 | -1 |
| 7 | CWE-416 | Use After Free | 8.47 | 14 | +1 |
| 8 | CWE-125 | 範囲外読み取り | 7.88 | 3 | -2 |
| 9 | CWE-78 | OSコマンドインジェクション | 7.85 | 20 | -2 |
| 10 | CWE-94 | コードインジェクション | 7.57 | 7 | +1 |
| 11 | CWE-120 | クラシックバッファオーバーフロー | 6.96 | 0 | N/A |
| 12 | CWE-434 | 危険な種類のファイルの無制限アップロード | 6.87 | 4 | -2 |
| 13 | CWE-476 | NULLポインタ参照 | 6.41 | 0 | +8 |
| 14 | CWE-121 | スタックベースバッファオーバーフロー | 5.75 | 4 | N/A |
| 15 | CWE-502 | 信頼されていないデータのデシリアライズ | 5.23 | 11 | +1 |
| 16 | CWE-122 | ヒープベースバッファオーバーフロー | 5.21 | 6 | N/A |
| 17 | CWE-863 | 不正な認可 | 4.14 | 4 | +1 |
| 18 | CWE-20 | 不適切な入力検証 | 4.09 | 2 | -6 |
| 19 | CWE-284 | 不適切なアクセス制御 | 4.07 | 1 | N/A |
| 20 | CWE-200 | 機密情報の露出 | 4.01 | 1 | -3 |
| 21 | CWE-306 | 重要な機能に対する認証の欠如 | 3.47 | 11 | +4 |
| 22 | CWE-918 | サーバーサイドリクエストフォージェリ(SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | コマンドインジェクション | 3.15 | 2 | -10 |
| 24 | CWE-639 | ユーザー制御キーによる認可バイパス | 2.62 | 0 | +6 |
| 25 | CWE-770 | 制限またはスロットリングなしのリソース割り当て | 2.54 | 0 | +1 |
「多くの場合、発見と悪用が容易であり、敵対者がシステムを完全に乗っ取ったり、データを盗んだり、アプリケーションを動作不能にしたりする脆弱性につながり得ます」とMITREは述べています。
「この年次リストは、敵対者がシステムを侵害し、データを盗み、またはサービスを妨害するために悪用する最も重大な脆弱性を特定するものです。CISAとMITREは、組織がこのリストを確認し、それぞれのソフトウェアセキュリティ戦略の策定に活用することを推奨します」と、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は付け加えました。
近年、CISAは「Secure by Design(設計段階からのセキュア化)」に関する複数のアラートを発出し、利用可能な緩和策が存在するにもかかわらずソフトウェアに残り続けている、広く文書化された脆弱性の蔓延にスポットライトを当てています。
これらのアラートの一部は、進行中の悪意あるキャンペーンへの対応として公開されたもので、たとえば2024年7月のアラートでは、テクノロジー企業に対し、中国の国家支援ハッカーグループ「Velvet Ant」がCisco、Palo Alto、およびIvantiのネットワークエッジデバイスを標的とした攻撃で悪用しているOSコマンドインジェクションの脆弱性を排除するよう要請しました。
今週、同庁は開発者およびプロダクトチームに対し、2025年版CWEトップ25を確認して主要な脆弱性を特定し、Secure by Designの実践を採用するよう助言するとともに、セキュリティチームには、アプリケーションセキュリティテストおよび脆弱性管理プロセスにこのリストを組み込むよう求めました。
2025年4月には、MITREの副社長Yosry Barsoum氏が、CVEおよびCWEプログラムに対する政府資金が失効する見込みであると警告したことを受け、米国政府は重要な共通脆弱性識別子(CVE)プログラムの継続性を確保するため、MITREへの資金提供をさらに11か月延長したこともCISAから発表されました。
