はじめに
MITREは、Homeland Security Systems Engineering and Development Institute (HSSEDI) およびCybersecurity and Infrastructure Security Agency (CISA) との協力のもと、2025年版の最も危険なソフトウェアの脆弱性トップ25リストを発表しました。このリストは、2024年6月から2025年6月の間に開示された39,000件以上のセキュリティ脆弱性の背後にあるソフトウェアの弱点を特定しています。
ソフトウェアの脆弱性とは
ソフトウェアの脆弱性とは、コード、実装、アーキテクチャ、または設計に見られる欠陥、バグ、弱点、またはエラーのことです。攻撃者はこれらの弱点を悪用して、脆弱なソフトウェアを実行しているシステムに侵入することができます。悪用が成功すると、脅威アクターは侵害されたデバイスを制御し、サービス拒否攻撃を引き起こしたり、機密データにアクセスしたりする可能性があります。
ランキングの評価方法
今年のランキングを作成するために、MITREは2024年6月1日から2025年6月1日の間に報告された39,080件のCVEレコードを分析し、各脆弱性をその深刻度と頻度に基づいてスコア付けしました。
注目すべき脆弱性と順位変動
Cross-Site Scripting (CWE-79) は依然としてトップ25の首位を維持しています。昨年から順位を大きく上げた項目として、Missing Authorization (CWE-862)、Null Pointer Dereference (CWE-476)、およびMissing Authentication (CWE-306) が挙げられます。
新たにトップランク入りした脆弱性には、Classic Buffer Overflow (CWE-120)、Stack-based Buffer Overflow (CWE-121)、Heap-based Buffer Overflow (CWE-122)、Improper Access Control (CWE-284)、Authorization Bypass Through User-Controlled Key (CWE-639)、およびAllocation of Resources Without Limits or Throttling (CWE-770) が含まれます。
2025年版CWEトップ25リスト
- 1位 CWE-79: Cross-site Scripting (スコア: 60.38)
- 2位 CWE-89: SQL Injection (スコア: 28.72)
- 3位 CWE-352: Cross-Site Request Forgery (CSRF) (スコア: 13.64)
- 4位 CWE-862: Missing Authorization (スコア: 13.28)
- 5位 CWE-787: Out-of-bounds Write (スコア: 12.68)
- 6位 CWE-22: Path Traversal (スコア: 8.99)
- 7位 CWE-416: Use After Free (スコア: 8.47)
- 8位 CWE-125: Out-of-bounds Read (スコア: 7.88)
- 9位 CWE-78: OS Command Injection (スコア: 7.85)
- 10位 CWE-94: Code Injection (スコア: 7.57)
- 11位 CWE-120: Classic Buffer Overflow (スコア: 6.96)
- 12位 CWE-434: Unrestricted Upload of File with Dangerous Type (スコア: 6.87)
- 13位 CWE-476: NULL Pointer Dereference (スコア: 6.41)
- 14位 CWE-121: Stack-based Buffer Overflow (スコア: 5.75)
- 15位 CWE-502: Deserialization of Untrusted Data (スコア: 5.23)
- 16位 CWE-122: Heap-based Buffer Overflow (スコア: 5.21)
- 17位 CWE-863: Incorrect Authorization (スコア: 4.14)
- 18位 CWE-20: Improper Input Validation (スコア: 4.09)
- 19位 CWE-284: Improper Access Control (スコア: 4.07)
- 20位 CWE-200: Exposure of Sensitive Information (スコア: 4.01)
- 21位 CWE-306: Missing Authentication for Critical Function (スコア: 3.47)
- 22位 CWE-918: Server-Side Request Forgery (SSRF) (スコア: 3.36)
- 23位 CWE-77: Command Injection (スコア: 3.15)
- 24位 CWE-639: Authorization Bypass via User-Controlled Key (スコア: 2.62)
- 25位 CWE-770: Allocation of Resources w/o Limits or Throttling (スコア: 2.54)
MITREとCISAからの提言
MITREは、「これらの脆弱性はしばしば発見しやすく悪用されやすいため、攻撃者がシステムを完全に掌握したり、データを盗んだり、アプリケーションの動作を妨げたりする悪用可能な脆弱性につながる可能性があります」と述べています。
CISAは、「この年次リストは、攻撃者がシステムを侵害し、データを盗み、またはサービスを妨害するために悪用する最も重要な弱点を特定します。CISAとMITREは、組織がこのリストを確認し、それぞれのソフトウェアセキュリティ戦略を策定する際に活用することを奨励しています。」と付け加えています。
CISAの「Secure by Design」イニシアティブ
近年、CISAは、「Secure by Design」に関する複数の警告を発しており、緩和策が利用可能であるにもかかわらず、ソフトウェアに広く存在する文書化された脆弱性の普及に焦点を当てています。例えば、2024年7月には、中国の国家支援ハッカー集団「Velvet Ant」がCisco、Palo Alto、Ivantiのネットワークエッジデバイスを標的とした攻撃で悪用したOSコマンドインジェクションの弱点を取り除くようテクノロジー企業に求める警告を出しました。
今週、サイバーセキュリティ機関は、開発者や製品チームに対し、2025年版CWEトップ25を確認して主要な弱点を特定し、「Secure by Design」プラクティスを採用するよう助言しました。同時に、セキュリティチームには、このリストをアプリケーションセキュリティテストと脆弱性管理プロセスに統合するよう求めました。
CVEプログラムの資金継続
2025年4月、CISAは、MITREの副社長Yosry Barsoum氏が政府によるCVEおよびCWEプログラムの資金提供が終了する可能性があると警告した後、重要なCommon Vulnerabilities and Exposures (CVE) プログラムの継続性を確保するため、MITREへの資金提供をさらに11か月延長したことを発表しました。