2020年危ないソフトウェアリスト!脆弱性トップ25報告は激震
「2020 CWE Top 25 Most Dangerous Software Weaknesses|CISA」をご存知でしょうか?
アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI: Homeland Security Systems Engineering and Development Institute)から、2020年Common Weakness Enumeration (CWE:共通脆弱性タイプ一覧)が注目されています。
この度、ソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されたと伝えた。
攻撃者はこうした脆弱性を悪用して影響を受けるシステムを制御したり、機密情報を窃取したり、サービス妨害攻撃(DoS: Denial of Service attack)を仕掛けたりすると説明している。
脆弱性トップ25を意識して見たことはなかったならば、セキュリティがどのような攻撃によって脅かされるのか理解する必要があるでしょう。
HSSEDIによる報告では以下がトップ25です。
CWE-79 – Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング)
CWE-787 – 範囲外の書き込み
CWE-20 – 不適切な入力検証
CWE-125 – 範囲外の読み取り
CWE-119 – メモリバッファ境界内での不適切な処理制限
CWE-89 – SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション)
CWE-200 – 権限を持たないユーザへの機密情報の漏洩
CWE-416 – 解放したメモリの使用
CWE-352 – クロスサイトリクエストフォージェリ(CSRF)
CWE-78 – OSコマンドで使用される特殊要素の不適切な処理(OSコマンドインジェクション)
CWE-190 – 整数オーバーフローまたはラップアラウンド
CWE-22 – 制限されたディレクトリに対する不適切なパス名制限(パストラバーサル)
CWE-476 – NULLポインター逆参照
CWE-287 – 不適切な認証
CWE-434 – 危険なタイプのファイルのアップロード許可
CWE-732 – 重要なリソースの不正な権限割り当て
CWE-94 – 不適切な制御コード生成(コードインジェクション)
CWE-522 – 十分に保護されていない資格情報
CWE-611 – XML外部エンティティ参照の不適切な制限
CWE-798 – ハードコードされた資格情報の使用
CWE-502 – 信頼できないデータの逆シリアル化
CWE-269 – 不適切な権限管理
CWE-400 – 制御されていないリソース消費
CWE-306 – 重要な機能の使用に対する認証の欠如
CWE-862 – 認証の欠如
25のリストが表示されている。
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対して、トップ25の内容をチェックするとともに、適切な緩和策を適用していくことを推奨しています。
掲載時点の情報であり、最新のものとは異なる場合があるのを了承しておくべきでしょう。
セキュリティのスペシャリストな人材は多くないので、脆弱性の優先順位づけと実行計画策定と併せて障害に対応するプロセスの整備は必要です。
セキュリティ観点でシステムチェックを実施する際のチェック観点として参考になりそうです。
セキュリティのスペシャリストではない場合、どのような脅威への対策が必要になるのか迷う人も多いのではないでしょうか。
25のリストが表示されている。CISAはユーザーおよび管理者に対して、トップ25の内容をチェックするとともに、適切な緩和策を適用していくことを推奨している。
この記事へのコメントはこちら