タグ一覧

Rootio Linux 419

Rootio Linuxは、ベンダーが提供するLinuxオペレーティングシステムの一つです。このLinuxディストリビューションは、特にクローズドソースの管理とサポートを提供することを目的としています。企業や組織では、特定のセキュリティ標準やコンプライアンス要件を満たすために利用されることが多いです。セキュリティの側面から見ると、Rootio Linuxはセキュリティアップデートやパッチの提供が迅速である点が重要です。そうすることで、システムの脆弱性をできるだけ速やかに修正し、リスクを低減します。

ベンダー

Microsoft 386

Microsoftは Windows、Office、Azure、Active Directory などを提供する世界最大のソフトウェア企業のひとつです。 企業の業務システムの大半が Microsoft 製品で動いているため、Microsoft製品の脆弱性は常に最重要監視対象です。 毎月第2火曜日 (Patch Tuesday) に脆弱性修正がまとめて配信されます。

ベンダー

C 237

タグ解説は準備中です

言語

Java 183

Javaは銀行・証券・保険など大企業の業務システムで広く使われている老舗プログラミング言語です。 Androidアプリも基本的にJavaまたはKotlin (Java互換) で書かれています。 脆弱性の文脈では、デシリアライゼーション攻撃やライブラリ (Log4j等) の脆弱性が世界的な事件を起こしてきました。

言語 ベンダー

Bitnami 178

タグ解説は準備中です

コンテナ技術 パッケージ系

Jre 178

タグ解説は準備中です

ベンダー

Java Min 178

タグ解説は準備中です

ベンダー

Windows 177

タグ解説は準備中です

OS 製品

Rootdebian11 175

タグ解説は準備中です

パッケージ系

Rootdebian12 151

タグ解説は準備中です

パッケージ系

Linux 130

タグ解説は準備中です

OS ベンダー

Cwe 20 125

CWE-20: 入力検証の不備

CWE-20は「ユーザーから受け取ったデータが、想定された形式・範囲・型かをきちんとチェックせずに使ってしまう欠陥」のことです。 非常に広い概念で、SQLi・XSS・コマンドインジェクションなど多くの攻撃の前段階となります。 「入力は信用するな (Trust Boundaries の概念)」がセキュリティ設計の基本原則です。

CWE

Cwe 78 120

CWE-78: OSコマンドインジェクション

CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。 例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。 対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。

CWE

Linux Kernel 106

タグ解説は準備中です

Cwe 787 105

CWE-787: 境界外書き込み

CWE-787はCWE-119の中でも特に「メモリの確保された範囲外に書き込んでしまう」欠陥です。 書き込みできるとプログラムを完全に乗っ取れる (任意コード実行) ことが多く、CVSSスコアが極めて高くなりがちです。 MITREの「危険な脆弱性Top 25」で常に上位を占めています。

CWE

Cwe 416 99

CWE-416: 解放後使用 (Use-After-Free)

CWE-416は「メモリを解放した後にそのメモリを使ってしまう」欠陥です。 C/C++のような手動メモリ管理言語で頻発し、攻撃者はこれを利用して任意のコードを実行できることが多いです。 ブラウザのJavaScriptエンジン (V8, JavaScriptCore) でよく見つかり、ブラウザ経由のゼロデイ攻撃の典型的な原因となります。

CWE

Apple 99

AppleはmacOS, iOS, iPadOS, watchOS等のOSと、iPhone・Mac等のハードウェアを提供しています。 特にiOSは世界中のスマートフォンの約3割を占め、企業の役員クラスや要人がiPhoneを使う比率が高いため、ゼロデイ脆弱性は国家レベルのスパイウェア (Pegasus等) で悪用されることがあります。

ベンダー

Cwe 22 96

CWE-22: パストラバーサル

CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。 ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。 対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。

CWE

Rootdebian13 93

タグ解説は準備中です

パッケージ系

Cwe 119 90

CWE-119: メモリの境界外操作

CWE-119は「C/C++など低レベル言語で、配列の確保された範囲外にデータを読み書きしてしまう欠陥」のことです。 バッファオーバーフローやヒープオーバーフローと呼ばれる古典的な脆弱性で、攻撃者はこれを使って任意のコード実行を狙います。 ブラウザ・OS・ファームウェアなど低レベルなシステムで頻発します。

CWE

Cisco 89

Ciscoは世界最大のネットワーク機器メーカーで、企業のルーター・スイッチ・VPN・ファイアウォール等のシェアが大きいです。 ネットワーク機器の脆弱性は、企業ネットワーク全体への侵入経路になるため非常に深刻です。

ベンダー

Denial of Service 85

サービス拒否 (DoS)

タグ解説は準備中です

攻撃タイプ

Cwe 94 84

CWE-94: コードインジェクション

CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。 Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。 リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。

CWE

Multiple Products 79

タグ解説は準備中です

製品

Adobe 78

タグ解説は準備中です

ベンダー

Google 77

タグ解説は準備中です

ベンダー

Cwe 502 70

CWE-502: 安全でないデシリアライゼーション

CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。 Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。

CWE

Cwe 79 66

CWE-79: クロスサイトスクリプティング (XSS)

CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。 結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。 対策はWebの基本中の基本: 出力時のHTMLエスケープです。

CWE

Cwe 89 54

CWE-89: SQLインジェクション

CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。 攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。 対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。

CWE

Apache 47

タグ解説は準備中です

Webフレームワーク ベンダー 製品

Cwe 918 44

タグ解説は準備中です

CWE

Cwe 284 43

タグ解説は準備中です

CWE

Oracle 42

タグ解説は準備中です

ベンダー

JavaScript 41

JavaScriptはブラウザの中で動くプログラミング言語で、ボタンを押したときの動きやページの動的な変化を担当します。 近年は Node.js でサーバー側でも使われ、Webアプリ全体で最も使われている言語のひとつです。 脆弱性の文脈では XSS (クロスサイトスクリプティング) という、攻撃者がページに悪意あるスクリプトを混入させる攻撃が代表的です。

言語

PHP 41

PHPはサーバーサイドで動くプログラミング言語で、Webサイトの裏側を作るのに広く使われています。 WordPress、Laravel、Drupalなど、世界中の多くのサイトの土台になっています。 セキュリティ脆弱性の文脈では「インジェクション系」(攻撃文字列を実行させる) や「ファイルアップロードの不備」が典型的な弱点として知られています。

言語 ベンダー 製品

Cwe 287 41

タグ解説は準備中です

CWE

Cwe 77 40

タグ解説は準備中です

CWE

Cwe 306 38

タグ解説は準備中です

CWE

Chromium V8 38

タグ解説は準備中です

製品

Cwe 843 37

タグ解説は準備中です

CWE

Internet Explorer 34

タグ解説は準備中です

製品

Cwe 122 34

タグ解説は準備中です

CWE

Cwe 125 34

タグ解説は準備中です

CWE

Flash Player 34

タグ解説は準備中です

製品

Ivanti 34

IvantiはVPN・モバイルデバイス管理 (MDM)・エンドポイント管理等のエンタープライズ向け製品を提供しています。 2024年〜2026年にかけて、Ivanti製品の脆弱性が国家支援の攻撃グループに頻繁に悪用され、CISA KEV カタログ常連となっています。

ベンダー

Cwe 200 34

タグ解説は準備中です

CWE

Cwe 264 31

タグ解説は準備中です

CWE

Office 29

タグ解説は準備中です

製品

iOS 28

タグ解説は準備中です

モバイル基盤 製品

Kernel 28

タグ解説は準備中です

製品

Cross-Site Scripting 27

クロスサイトスクリプティング (XSS)

XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。 例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。 対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。

攻撃タイプ

Vmware 26

タグ解説は準備中です

ベンダー

D Link 26

タグ解説は準備中です

ベンダー

Fortinet 26

タグ解説は準備中です

ベンダー

Win32K 25

タグ解説は準備中です

製品

Cwe 74 25

タグ解説は準備中です

CWE

SQL Injection 23

SQLインジェクション

SQLインジェクションは「Webフォームに特殊な文字列を入れて、データベースに不正な命令を実行させる」古典的な攻撃です。 たとえばログイン画面で `' OR '1'='1` と入力するだけでパスワードチェックを回避できる、というのが最も有名な例です。 対策は「プリペアドステートメント」を使うことで、初学者向けの教科書にも載っている基本中の基本ですが、いまだに世界中で被害が続いています。

攻撃タイプ

Cwe 863 23

タグ解説は準備中です

CWE

Cwe 190 22

タグ解説は準備中です

CWE

Cwe 434 22

タグ解説は準備中です

CWE