【第16回】CWE（Common Weakness Enumeration）Top 25

CWE （Common Weakness Enumeration）のWebサイトは、国土安全保障省（U.S. Department of Security）のCyber Security Divisionから支援を受けた非営利団体MITREが運営しています。

“GAIO Security Talks“でも紹介しているCWEのサイトではTop 25 Most Dangerous Software Weaknessを公開しています。発表されなかった年もありましたが、最近は毎年発表しており、既に2023年版もあります。

CWE Top 25は、その年の最も危険なソフトウェアの弱点という理解で良いと思います。サイトには、過去4年間のランク推移を示す情報もあります。

ずっとランクインを続けている脆弱性やランク外になったもの、新しくランクインしたものが分かりますが、攻撃者の動向によって変動があるのだと思います。

これだけを注意すれば良いということはありませんが、CWEの脆弱性タイプは膨大な数があるので、Top 25に並んだ脆弱性に絞り込んで内容を見てみます。

上記のデータに最新の2023年データを加えて過去5年間にTop 25に入ったCWEタイプを表にしてみました。

表中の数字はその年の順位です。
こちらの表でも、5年間ずっとランク入りしたものや、途中でランク外になったものなどが分かると思います。

CWE-20、CWE-79、CWE-89、CWE-125、CWE-352、CWE-416はずっと１桁順位ですし、CWE-787は過去３年連続1位です。攻撃方法に流行のようなものがあるのかどうか分かりませんが、ある脆弱性への攻撃をヒントにして別の攻撃方法を考えるようなことはありそうです。

表には33の脆弱性タイプがありますが、ソースプログラムが目に浮かぶようなものから、さっぱり見当のつかないようなものまで、脆弱性タイプのレベルに幅があるように感じられると思います。

実は、CWE-IDの各情報は大きな括りから個別の脆弱性まで様々な情報の集まりで、表に並んだ情報だけ見ると具体的な脆弱性とざっくりとした情報が混在しています。異なるレベルの情報をランク付けするのは少しおかしいかもしれませんが、攻撃されやすい弱点の情報を提供する意味はあるのだと思います。
CWEには現在1000近い数の脆弱性情報があり、これらを体系化して見る方法もありますし、その見方も提供しています。

次回は、脆弱性の抽象度による体系について考えてみます。
なお、表の脆弱性タイプ欄は私の理解で書いてあるので、気になる方はCWEサイトの原文を確認して下さい。