MITREは、広く蔓延しており深刻な脆弱性につながる「最も危険なソフトウェアエラー」トップ25(CWE Top 25)のリストを公開しました。このリストは、National Vulnerability Database(国家脆弱性データベース)で公開された脆弱性に基づいて作成されました。
これらの脆弱性は容易に悪用可能で、攻撃者がシステムを完全に制御できるようになります。攻撃者は機密データを盗み、アプリケーションをクラッシュさせ、DoS状態を引き起こすことができます。
MITREによると、CWE Top 25のリストは、ソフトウェア開発者、ソフトウェアテスター、ソフトウェアの顧客、ソフトウェアプロジェクトマネージャー、セキュリティ研究者、教育者が、業界における一般的なセキュリティ脅威への洞察を得るための有用なリソースとなります。
MITREは、このリストは生成されたとし、NVDで公開されたCVEに基づくデータ駆動型アプローチ、およびそれに関連付けられたCVSSスコアに基づいていると述べています。
MITREは次のように述べています。「その後、各弱点が示す蔓延度と危険度のレベルを決定するためにスコアリング式が適用されました。このデータ駆動型アプローチは、最小限の労力でCWE Top 25リストを定期的に生成するための、再現可能でスクリプト化されたプロセスとして利用できます。」
2026年版のリストは、2011年のCWE/SANS Top 25以来の最新リリースです。「2011 CWE/SANS Top 25は、開発者、トップセキュリティアナリスト、研究者、ベンダーへのアンケートや個別インタビューを用いて作成されましたが、2026年版のリストは実世界の脆弱性に基づいています」とMITREは述べました。
CWE Top 25 リスト
MITREは、各脆弱性について、総合CVSSスコアと説明、ならびに例を含むリストを提供しました。
| 順位 | ID | 名称 | スコア |
|---|---|---|---|
| [1] | CWE-119 | メモリバッファ境界内での操作の不適切な制限 | 75.56 |
| [2] | CWE-79 | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | 45.69 |
| [3] | CWE-20 | 不適切な入力検証 | 43.61 |
| [4] | CWE-200 | 情報露出 | 32.12 |
| [5] | CWE-125 | 境界外読み取り | 26.53 |
| [6] | CWE-89 | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | 24.54 |
| [7] | CWE-416 | 解放後使用(Use After Free) | 17.94 |
| [8] | CWE-190 | 整数オーバーフローまたはラップアラウンド | 17.35 |
| [9] | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) | 15.54 |
| [10] | CWE-22 | 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」) | 14.10 |
| [11] | CWE-78 | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | 11.47 |
| [12] | CWE-787 | 境界外書き込み | 11.08 |
| [13] | CWE-287 | 不適切な認証 | 10.78 |
| [14] | CWE-476 | NULLポインタ参照 | 9.74 |
| [15] | CWE-732 | 重要リソースに対する誤った権限割り当て | 6.33 |
| [16] | CWE-434 | 危険なタイプのファイルの無制限アップロード | 5.50 |
| [17] | CWE-611 | XML外部エンティティ参照の不適切な制限 | 5.48 |
| [18] | CWE-94 | コード生成の不適切な制御(「コードインジェクション」) | 5.36 |
| [19] | CWE-798 | ハードコードされた認証情報の使用 | 5.12 |
| [20] | CWE-400 | 制御されないリソース消費 | 5.04 |
| [21] | CWE-772 | 有効寿命後のリソース解放漏れ | 5.04 |
| [22] | CWE-426 | 信頼できない検索パス | 4.40 |
| [23] | CWE-502 | 信頼できないデータのデシリアライズ | 4.30 |
| [24] | CWE-269 | 不適切な権限管理 | 4.23 |
| [25] | CWE-295 | 不適切な証明書検証 | 4.06 |
MITREがスコアリング式に基づいて算出したCWEでは、一般的で影響が大きい脆弱性ほど高いスコアが付与されます。
翻訳元: https://gbhackers.com/2026-cwe-top-25/
