GAIO CLUB

2023年12月21日

【第16回】CWE(Common Weakness Enumeration)Top 25

静的解析/コンパイラ技術
いまさら聞けない静的解析/コンパイラ技術
今回から、セキュリティに関するお話をしようと思います。
と言っても、セキュリティの専門家ではないので、脆弱性とコーディングルール・静的解析に関わる話になります。

CWE Top 25

CWE (Common Weakness Enumeration)のWebサイトは、国土安全保障省(U.S. Department of Security)のCyber Security Divisionから支援を受けた非営利団体MITREが運営しています。

“GAIO Security Talks“でも紹介しているCWEのサイトではTop 25 Most Dangerous Software Weaknessを公開しています。発表されなかった年もありましたが、最近は毎年発表しており、既に2023年版もあります。
CWE Top 25は、その年の最も危険なソフトウェアの弱点という理解で良いと思います。サイトには、過去4年間のランク推移を示す情報もあります。
Opportunities for the future of the Top 25
ずっとランクインを続けている脆弱性やランク外になったもの、新しくランクインしたものが分かりますが、攻撃者の動向によって変動があるのだと思います。

これだけを注意すれば良いということはありませんが、CWEの脆弱性タイプは膨大な数があるので、Top 25に並んだ脆弱性に絞り込んで内容を見てみます。

上記のデータに最新の2023年データを加えて過去5年間にTop 25に入ったCWEタイプを表にしてみました。

過去5年間にランク入りした脆弱性

過去5年間にTop25に入ったCWEタイプ
表中の数字はその年の順位です。
こちらの表でも、5年間ずっとランク入りしたものや、途中でランク外になったものなどが分かると思います。

CWE-20、CWE-79、CWE-89、CWE-125、CWE-352、CWE-416はずっと1桁順位ですし、CWE-787は過去3年連続1位です。攻撃方法に流行のようなものがあるのかどうか分かりませんが、ある脆弱性への攻撃をヒントにして別の攻撃方法を考えるようなことはありそうです。

表には33の脆弱性タイプがありますが、ソースプログラムが目に浮かぶようなものから、さっぱり見当のつかないようなものまで、脆弱性タイプのレベルに幅があるように感じられると思います。

実は、CWE-IDの各情報は大きな括りから個別の脆弱性まで様々な情報の集まりで、表に並んだ情報だけ見ると具体的な脆弱性とざっくりとした情報が混在しています。異なるレベルの情報をランク付けするのは少しおかしいかもしれませんが、攻撃されやすい弱点の情報を提供する意味はあるのだと思います。
CWEには現在1000近い数の脆弱性情報があり、これらを体系化して見る方法もありますし、その見方も提供しています。

次回は、脆弱性の抽象度による体系について考えてみます。
なお、表の脆弱性タイプ欄は私の理解で書いてあるので、気になる方はCWEサイトの原文を確認して下さい。

筆者紹介

浅野 昌尚(あさの まさなお)

ガイオ・テクノロジー株式会社

開発2部 QTXグループ

1980年代から30年以上にわたり汎用構造のCコンパイラ開発に従事し、その間に8ビットマイコンからRISC・VLIW・画像処理プロセッサまで、さまざまなCPU向けのクロスCコンパイラを開発。

人気のコラム

最新のコラム