MITRE は、2025年版の年次リスト Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアの弱点トップ25) を公開し、世界中のソフトウェア開発に影響を与えている最も重大な脆弱性を特定しました。
この包括的な分析は 39,080 件を超える CVE レコードに基づいており、セキュリティ専門家や開発者に、防御を強化するための実行可能なインテリジェンスを提供します。
MITRE の 2025 年版リストは、明らかにしているのは、脆弱性の状況における大きな変化です。クロスサイトスクリプティング(XSS)は依然として最も一般的な弱点として君臨しています。
同時に、SQL インジェクションは順位を 1 つ上げて 2 位となり、インジェクションベースの攻撃が依然としてしつこい脅威であることを浮き彫りにしています。
特筆すべきは、今年は「認可の欠如」が 5 つ順位を上げて 4 位となり、モダンなアプリケーションにおける不十分なアクセス制御への懸念の高まりを反映している点です。
メモリ安全性に関する脆弱性は依然として重大なリスクとなっており、Out-of-bounds Write、Use-after-free、Out-of-bounds Read、そしてさまざまな種類のバッファオーバーフローが、リストを総合的に支配しています。
これらメモリ関連の弱点により、攻撃者はシステムの完全性を侵害し、データを完全に窃取することが可能になります。
OS コマンドインジェクション (9 位)は、既知の悪用済み脆弱性(KEV)エントリが 20 件と最多であり、実環境で最も積極的に悪用されている弱点となっています。
認証および認可の失敗は、2025 年において重要性を増しています。「認可の欠如」に加え、「重要な機能に対する認証の欠如」は 11 件の KEV エントリとともに 21 位にランクインしており、機密性の高い操作を保護する上で重大なギャップが存在することを示しています。
ユーザー制御キーによる認可バイパスは、24 位でトップ 25 に初登場しており、不適切な権限メカニズムを悪用する新たな攻撃ベクトルを浮き彫りにしています。
このデータは、組織にとって戦略的な示唆を与えます。Out-of-bounds Read は依然として一般的であるにもかかわらず、順位は 6 位から 8 位へと低下しました。
同時に、不適切な入力検証は 12 位から 18 位へと大きく順位を落としており、基礎的な検証プラクティスに対する認識が向上していることを示唆しています。
しかし、Classic バッファオーバーフロー やヒープベースのバッファオーバーフローといった新たに台頭している弱点は、メモリ安全性に関する課題が依然として根強いことを示しています。
| 順位 | CWE ID | 弱点 | KEV における CVE 数 | 前回順位 |
|---|---|---|---|---|
| 1 | 79 | クロスサイトスクリプティング (XSS) | 7 | 1 |
| 2 | 89 | SQL インジェクション | 4 | 3 ↑1 |
| 3 | 352 | クロスサイトリクエストフォージェリ (CSRF) | 0 | 4 ↑1 |
| 4 | 862 | 認可の欠如 (Missing Authorization) | 0 | 9 ↑5 |
| 5 | 787 | Out-of-bounds Write | 12 | 2 ↓3 |
| 6 | 22 | パストラバーサル | 10 | 5 ↓1 |
| 7 | 416 | Use After Free | 14 | 8 ↑1 |
| 8 | 125 | Out-of-bounds Read | 3 | 6 ↓2 |
| 9 | 78 | OS コマンドインジェクション | 20 | 7 ↓2 |
| 10 | 94 | コードインジェクション | 7 | 11 ↑1 |
| 11 | 120 | クラシック・バッファオーバーフロー | 0 | N/A |
| 12 | 434 | 無制限ファイルアップロード | 4 | 10 ↓2 |
| 13 | 476 | NULL ポインタデリファレンス | 0 | 21 ↑8 |
| 14 | 121 | スタックベース・バッファオーバーフロー | 4 | N/A |
| 15 | 502 | 信頼されていないデータのデシリアライゼーション | 11 | 16 ↑1 |
| 16 | 122 | ヒープベース・バッファオーバーフロー | 6 | N/A |
| 17 | 863 | 不正な認可 (Incorrect Authorization) | 4 | 18 ↑1 |
| 18 | 20 | 不適切な入力検証 (Improper Input Validation) | 2 | 12 ↓6 |
| 19 | 284 | 不適切なアクセス制御 (Improper Access Control) | 1 | N/A |
| 20 | 200 | 機密情報の露出 (Exposure of Sensitive Information) | 1 | 17 ↓3 |
| 21 | 306 | 認証の欠如 (Missing Authentication) | 11 | 25 ↑4 |
| 22 | 918 | サーバーサイドリクエストフォージェリ (SSRF) | 0 | 19 ↓3 |
| 23 | 77 | コマンドインジェクション | 2 | 13 ↓10 |
| 24 | 639 | 認可バイパス(ユーザー制御キー) | 0 | 30 ↑6 |
| 25 | 770 | 制限のないリソース割り当て | 0 | 26 ↑1 |
MITRE は、このリストが、脆弱性の削減、コスト削減、トレンド分析、悪用可能性の評価のための戦略的な指針として機能すると強調しています。
これらの根本原因を理解することで、組織はセキュリティ投資を的確に行い、ソフトウェア開発ライフサイクルを改善し、デプロイ前に脆弱性のクラス全体を排除することができます。
2025 年版 CWE Top 25 により、開発者とセキュリティチームは是正措置の優先順位付けを効果的に行うことができ、本番環境で悪用可能な脆弱性を生み出す可能性が最も高い弱点への対処に、リソースを集中させることが可能になります。
翻訳元: https://gbhackers.com/mitre-unveils-2025s-top-25-most-dangerous-software-weaknesses/
