2022年における危険な脆弱性タイプのトップ25が明らかに
MITERが運営する国土安全保証システム技術開発研究所は、2022年におけるソフトウェアの脆弱性を調査し、危険な脆弱性タイプトップ25を取りまとめた。
過去2年間にCVE番号が付与された3万7899件の脆弱性について、共通脆弱性評価システム「CVSS」で分類された「CWE(Common Weakness Enumeration)」をもとに分析し、ランキングとして取りまとめたもの。
評価にあたっては米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における分類を活用。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)の「悪用が確認された脆弱性カタログ(KEV)」における悪用状況や重要度なども考慮してスコアを算出している。
もっとも危険とされた脆弱性タイプは、前回2021年と同じく「域外への書き込み(CWE-787)」。NVDに4123件の登録があり、共通脆弱性評価システム「CVSS」の平均スコアは7.93。「KEV」に62件の登録もあり、総合スコアは64.20ポイントと突出して高かった。
2位は総合スコアが45.97ポイントの「クロスサイトスクリプティング(CWE-79)」。前回から順位の変動はなかった。CVSSの平均スコアは5.73とやや低くなるが、NVDの登録数はトップ40においてもっとも多い4740件にのぼっている。
(Security NEXT - 2022/06/30 )
ツイート
PR
関連記事
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
県立高で奨学金申請希望一覧表を生徒に誤配付 - 新潟県
新規就農者向けの研修案内メールで誤送信 - 諫早市
ランサムウェア被害による個人情報流出を確認 - 日本セラミック
都校務支援システムに不具合 - 102校の健診データを誤登録して喪失
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
シルバー人材センターで広報配布名簿を置き配、所在不明に - 北広島市
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も