サイバーニュース.jp

世界のサイバーなニュースを配信

CWE Top 25 (2026) – 開発者が注視すべき最も危険なソフトウェアの脆弱性トップ25

カテゴリ:

はじめに:MITREが発表した2026年版CWE Top 25

サイバーセキュリティの脅威が進化し続ける中、MITREはソフトウェアの脆弱性に関する最新の脅威リスト「CWE Top 25 (2026)」を発表しました。これは、広く蔓延し、深刻なセキュリティ問題を引き起こす可能性のある、最も危険なソフトウェアの欠陥をまとめたものです。このリストは、国家脆弱性データベース(NVD)に公開された膨大な脆弱性データに基づいて作成されており、悪用が容易で、攻撃者にシステムへの完全な制御を許したり、機密データの窃取、アプリケーションのクラッシュ、サービス拒否(DoS)状態の引き起こしなどの被害をもたらす可能性があります。

MITREは、このCWE Top 25リストが、ソフトウェア開発者、テスター、顧客、プロジェクトマネージャー、セキュリティ研究者、教育者といった広範な関係者にとって、業界における一般的なセキュリティ脅威への理解を深めるための極めて有用なリソースとなると強調しています。

データ駆動型アプローチによるリスト作成

今回のCWE Top 25 (2026)リストの作成においては、従来の調査やインタビューに基づく手法から脱却し、データ駆動型アプローチが採用されています。具体的には、NVDに公開されたCVE(共通脆弱性識別子)データと、それに付随するCVSS(共通脆弱性評価システム)スコアが分析されました。MITREは、「各脆弱性が示す普及度と危険度を決定するために採点方式が適用されました。このデータ駆動型アプローチは、最小限の労力でCWE Top 25リストを定期的に生成するための再現可能でスクリプト化されたプロセスとして利用できます」と説明しています。

特に注目すべきは、2026年版が実世界の脆弱性データに基づいている点です。2011年版のCWE/SANS Top 25が開発者やセキュリティ専門家へのアンケートやインタビューに依存していたのに対し、最新版は実際に観測された脆弱性の傾向を反映しており、より現実的な脅威の状況を提示しています。

CWE Top 25リスト(2026年版)

以下に、MITREが発表したCWE Top 25のリストを掲載します。各項目には、ランキング、CWE ID、脆弱性の名称、およびその全体的なCVSSスコアが含まれています。スコアが高いほど、その脆弱性が一般的であり、高い影響を与える可能性が高いことを示しています。

  • [1] CWE-119: メモリバッファの範囲内での操作の不適切な制限 (スコア: 75.56)
  • [2] CWE-79: Webページ生成における入力の不適切な無害化(「クロスサイトスクリプティング」) (スコア: 45.69)
  • [3] CWE-20: 不適切な入力検証 (スコア: 43.61)
  • [4] CWE-200: 情報漏洩 (スコア: 32.12)
  • [5] CWE-125: 範囲外読み取り (スコア: 26.53)
  • [6] CWE-89: SQLコマンドで使用される特殊エレメントの不適切な無害化(「SQLインジェクション」) (スコア: 24.54)
  • [7] CWE-416: 解放済みメモリの使用(Use After Free) (スコア: 17.94)
  • [8] CWE-190: 整数オーバーフローまたはラップアラウンド (スコア: 17.35)
  • [9] CWE-352: クロスサイトリクエストフォージェリ(CSRF) (スコア: 15.54)
  • [10] CWE-22: 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」) (スコア: 14.10)
  • [11] CWE-78: OSコマンドで使用される特殊エレメントの不適切な無害化(「OSコマンドインジェクション」) (スコア: 11.47)
  • [12] CWE-787: 範囲外書き込み (スコア: 11.08)
  • [13] CWE-287: 不適切な認証 (スコア: 10.78)
  • [14] CWE-476: NULLポインタデリファレンス (スコア: 9.74)
  • [15] CWE-732: 重要なリソースに対する不適切な権限割り当て (スコア: 6.33)
  • [16] CWE-434: 危険なタイプを持つファイルの無制限アップロード (スコア: 5.50)
  • [17] CWE-611: XML外部実体参照の不適切な制限 (スコア: 5.48)
  • [18] CWE-94: コード生成の不適切な制御(「コードインジェクション」) (スコア: 5.36)
  • [19] CWE-798: ハードコードされた認証情報の使用 (スコア: 5.12)
  • [20] CWE-400: 未制御のリソース消費 (スコア: 5.04)
  • [21] CWE-772: 有効期間終了後のリソース解放漏れ (スコア: 5.04)
  • [22] CWE-426: 信頼できない検索パス (スコア: 4.40)
  • [23] CWE-502: 信頼できないデータの非シリアル化 (スコア: 4.30)
  • [24] CWE-269: 不適切な特権管理 (スコア: 4.23)
  • [25] CWE-295: 不適切な証明書検証 (スコア: 4.06)

このリストは、ソフトウェア開発におけるセキュリティ対策の優先順位付けに役立ち、より堅牢なシステム構築に向けた指針となるでしょう。MITREの継続的な取り組みは、サイバー空間の安全性を高める上で不可欠です。

元記事: https://gbhackers.com/2026-cwe-top-25/

投稿をさらに読み込む