2025年3月3日、GMO Flatt Securityは、Webアプリケーションに存在する脆弱性に関する独自調査の最新版「GMO Flatt Security Top 10 2025」を公開した。
調査概要
- 対象の発見された脆弱性:同社サービス「脆弱性診断」においてWebアプリケーション・Web APIを対象に発見された1,000個以上の脆弱性を分類
- 対象期間:2023年1月1日~2024年12月31日
調査結果
- 1位:認可制御不備 28%
- 2位:認証の設計・実装不備 17%
- 3位:ロジックの脆弱性(認証・認可以外) 13%
- 4位:XSS(クロスサイト・スクリプティング) 9%
- 5位:セキュリティヘッダの設定不備 5%
- 6位:DoS 5%
- 7位:システム情報の漏洩 4%
- 8位:CSVマクロインジェクション 3%
- 9位:CSRF(クロスサイト・リクエストフォージェリ) 3%
- 10位:Cookieのセキュリティ設定不備 2%
同社は、1位〜3位の脆弱性をまとめて「ロジックの脆弱性」と呼称。これは、各アプリケーションに期待される挙動、すなわちビジネスロジックに反しているかいないかを考慮しないとリスク判断ができないタイプの脆弱性であることを意味するという。
結果を見ると、このようなロジックの脆弱性だけで58%の割合を占めており、なかでも1位として28%を占める「認可制御不備」はOWASP Top 10の最新2021年版でも1位のリスクと評価されているとのことだ。セグメントを問わず、現代の脆弱性対策における最重要課題だと同社は述べている。
【関連記事】
・24年までに171件のゼロデイ脆弱性報告、件数は増加傾向──GMOサイバーセキュリティ byイエラエ
・フィッシング詐欺のクリック数、前年の3倍に……個人向けアプリの脆弱性が課題【Netskope調査】
・NRIセキュア、SBOMによる脆弱性監視の支援サービスを提供開始 脆弱性情報収集の負担を軽減
