危険な脆弱性タイプ、2023年の「トップ25」

MITERが運営する国土安全保証システム技術開発研究所は、ソフトウェアの脆弱性を調査し、「2023年の危険な脆弱性タイプトップ25」を発表した。

2021年、2022年にCVE番号が付与された4万3996件の脆弱性について、共通脆弱性評価システム「CVSS」で分類された「CWE（Common Weakness Enumeration）」をもとに分析。ランキングとして取りまとめたもの。

評価にあたっては米国立標準技術研究所（NIST）の脆弱性データベース「NVD」における分類を活用。重要度なども考慮してスコアを算出した。米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）の「悪用が確認された脆弱性カタログ（KEV）」における登録状況なども示している。

もっとも危険とされた脆弱性タイプは、前回2022年から変わらず「域外への書き込み（CWE-787）」。「KEV」においても70件の登録があり、44件で2番目に多かった「Use After Free（CWE-416）」と比較しても突出している。

前年と比較的大きな変化が見られたのは、前回7位だった「Use After Free（CWE-416）」が4位へと上昇。「Missing Authorization（CWE-862）」が16位から11位へと上昇した。

（Security NEXT - 2023/06/30 ）ツイート