CVE脆弱性、2025年Q1に159件が悪用 – 28.3%は公開24時間以内に攻撃対象に

2025年4月25日15:38

サイバーセキュリティニュース

CVE脆弱性、2025年Q1に159件が悪用 - 28.3%は公開24時間以内に攻撃対象に - innovaTopia - （イノベトピア）

Last Updated on 2025-04-25 15:38 by admin

VulnCheckの最新レポートによると、2025年第1四半期に159件のCVE（共通脆弱性識別子）が実環境での悪用が確認されました。

これは2024年第4四半期の151件から増加しています。特筆すべきは、これらの脆弱性の28.3%（45件）が公開からわずか24時間以内に実際の攻撃で悪用されたことです。さらに14件の脆弱性が1ヶ月以内に悪用され、別の45件が1年以内に悪用されました。

悪用された脆弱性の内訳は以下の通りです：

コンテンツ管理システム（CMS）：35件
ネットワークエッジデバイス：29件
オペレーティングシステム：24件
オープンソースソフトウェア：14件
サーバーソフトウェア：14件

最も多く悪用された製品とベンダーは、Microsoft Windows（15件）、Broadcom VMware（6件）、Cyber PowerPanel（5件）、Litespeed Technologies（4件）、TOTOLINKルーター（4件）です。

VulnCheckによれば、平均して週に11.4件、月に53件のKEV（既知の悪用された脆弱性）が公開されました。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は四半期中に80件の脆弱性をKEVリストに追加しましたが、そのうち12件のみが事前に公開された悪用の証拠がありませんでした。

159件の脆弱性のうち、25.8%がNIST国立脆弱性データベース（NVD）による分析待ちまたは分析中であり、3.1%が新しい「延期」ステータスに割り当てられています。

Verizonの2025年データ侵害調査レポート（DBIR）によると、データ侵害の初期アクセス段階としての脆弱性の悪用は34%増加し、全侵入の20%を占めています。同レポートでは、2025年に過去最多となる22,052件のセキュリティインシデントと12,195件の確認されたデータ侵害を分析しています。

Google傘下のMandiantのデータによると、エクスプロイトは5年連続で最も頻繁に観測された初期感染ベクトルであり、侵入の33%を占めています。これは2023年の38%から減少していますが、2022年の32%とほぼ同じ割合です。

侵害から検出までの攻撃者がシステム上に存在する日数を指すグローバル中央値滞在時間は11日で、2023年から1日増加しています。

from:159 CVEs Exploited in Q1 2025 — 28.3% Within 24 Hours of Disclosure

【編集部解説】

サイバーセキュリティの世界では、脆弱性の発見から攻撃までの「タイムラグ」が急速に縮まっています。VulnCheckの最新レポートが示す「公開から24時間以内に28.3%の脆弱性が悪用される」という事実は、企業のセキュリティ担当者にとって極めて重要な警告と言えるでしょう。

この数字が意味するものは単純ではありません。攻撃者たちは脆弱性情報が公開されるのを常に監視し、公開と同時に攻撃コードを準備していることを示唆しています。つまり、従来の「パッチが公開されてから適用を検討する」というアプローチでは、すでに手遅れになる可能性が高いのです。

特に注目すべきは攻撃対象の傾向です。コンテンツ管理システム（CMS）が最も多く標的にされている点は、企業のWebサイトやデジタルプレゼンスが最前線の攻撃対象となっていることを示しています。WordPressなどの人気CMSを使用している企業は、常に最新のセキュリティアップデートを適用する体制が不可欠です。

また、ネットワークエッジデバイスが2番目に多い攻撃対象となっている点も見逃せません。VPNやファイアウォール、ルーターなどのエッジデバイスはインターネットに直接接続されているため、攻撃者にとって格好の標的となっています。

Verizonの2025年データ侵害調査レポート（DBIR）からは、さらに深刻な傾向が浮かび上がります。脆弱性の悪用による侵入が34%増加し、全侵入の20%を占めるようになった一方で、サプライチェーン経由の侵害が15%から30%へと倍増しています。これは、自社のセキュリティだけでなく、取引先や使用しているサービスのセキュリティも考慮する必要があることを意味しています。

特に懸念されるのは、ランサムウェア攻撃の増加です。Verizonのレポートによれば、ランサムウェアは全侵害の44%に関与しており、前年比37%増加しています。さらに興味深いのは、中小企業がランサムウェア関連侵害の88%を占めているという点です。「ランサムウェアグループは大企業だけを狙う」という従来の認識は、もはや通用しないことが明らかになっています。

侵害から検出までの時間（滞在時間）が11日に延びたことも懸念材料です。最新のセキュリティレポートによれば、未検出の侵害の平均滞在時間は10〜15日程度まで短縮されてきていますが、それでもデータ窃取やランサムウェア展開などの被害が拡大するには十分な時間です。

これらの傾向から見えてくるのは、「スピード」と「多層防御」の重要性です。脆弱性が公開されたら即座にパッチを適用する体制、パッチ適用前でも攻撃を検知・遮断できる多層防御の仕組み、そして万が一侵入された場合でも被害を最小限に抑えるためのセグメンテーションやゼロトラストアーキテクチャの導入が、今後のセキュリティ戦略の鍵となるでしょう。

テクノロジーの恩恵を最大限に享受するためには、そのリスクも適切に管理する必要があります。今回のデータを参考に、皆さんの組織のセキュリティ戦略を見直してみてはいかがでしょうか。

【用語解説】

CVE (Common Vulnerabilities and Exposures):
公開されたセキュリティ脆弱性に付与される固有の識別番号です。この識別子によって、セキュリティコミュニティは特定の脆弱性について正確に情報共有できるようになっています。

KEV (Known Exploited Vulnerabilities):
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が管理するカタログで、実際に攻撃で悪用されている脆弱性のリストです。連邦政府機関はこのリストに掲載された脆弱性に対して、定められた期間内に対策を講じることが義務付けられています。

CMS (コンテンツ管理システム):
Webサイトやアプリなどのデジタルコンテンツを作成、管理、公開するためのプラットフォームです。チームでの編集、公開、更新作業を効率的に行うことができます。

滞在時間 (Dwell Time):
攻撃者がネットワークに侵入してから検出されるまでの期間を指します。この期間が長いほど、攻撃者はより多くのシステムにアクセスし、より多くのデータを窃取する時間を得ることになります。

ネットワークエッジデバイス:
企業のネットワークと外部ネットワーク（インターネット）の境界に位置するデバイスです。VPN、ファイアウォール、ルーターなどが含まれます。外部からの攻撃の最初の標的となりやすいです。

多層防御 (Defense in Depth):
単一の防御策に依存せず、複数の異なるセキュリティ対策を層状に配置する戦略です。一つの防御層が破られても、他の層が攻撃を阻止できるようにする考え方です。

【参考リンク】

VulnCheck（外部）
脆弱性インテリジェンスプラットフォームを提供し、既知の悪用された脆弱性に関する情報を収集・分析している。

Verizon（外部）
サイバーセキュリティとサイバー防御における業界をリードする企業。侵害調査や脅威インテリジェンスを提供している。

【編集部後記】

サイバー攻撃の「スピード化」が進む中、皆さんの組織ではどのようなセキュリティ対策を講じていますか？脆弱性が公開されてから24時間以内に攻撃が始まる現実は、従来の対応では追いつかない状況を生み出しています。パッチ管理の自動化や多層防御の導入など、検討されている対策があれば、ぜひSNSでシェアしていただけると嬉しいです。他の読者の方々の知見も、私たち自身の学びになります。テクノロジーの恩恵を安全に享受するために、共に知識を深めていきましょう。