約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25

米国土安全保障省（DHS）傘下でMITREが運営する国土安全保証システム技術開発研究所（HSSEDI）は、直近1年間のデータをもとに脆弱性の動向について調査し、2025年の危険な「脆弱性タイプ」のトップ25を取りまとめた。

同調査では、2024年6月1日から2025年6月1日までに公開された3万9080件の脆弱性における「CWE（Common Weakness Enumeration）」の分類を集計。脆弱性のトレンドをまとめており、対策などに活用できるとしている。

米国立標準技術研究所（NIST）が管理する脆弱性データベース「NVD」における出現頻度や共通脆弱性評価システム「CVSS」の平均スコアをもとに順位付けを行った。「悪用が確認された脆弱性カタログ（KEV）」の登録状況なども参考情報として示している。

従来調査では、「NVD」の慣例に従い130種類の抽象的な「CWE」をもとに正規化が行われていたが、正確性や実用性に欠けるとして今回より廃止。

CVE採番機関や分析者が付与した実際の「CWE」をもとに分析することで、より実務的な脆弱性タイプがランキングに反映されたと説明している。分析には大規模言語モデル（LLM）なども活用した。

（Security NEXT - 2025/12/25 ）ツイート