悪用された脆弱性の32%がゼロデイまたはワンデイに

組織のパッチ適用までの猶予期間は短くなり続けており、攻撃者は重要な脆弱性をますます早く悪用しています。VulnCheckの最新レポートによると、今年攻撃者が利用した脆弱性の3分の1がゼロデイまたはワンデイでした。事前の警告がほとんどないため、防御側はエクスプロイトの検知と監視への投資を強化し、重要なパッチを常に最新に保つ必要があります。

「CVEが公開された当日またはそれ以前に悪用の証拠が開示されたKEV（既知の悪用済み脆弱性）の割合が8.5%増加し、1H-2025では32.1%となりました。これは2024年に報告した23.6%からの増加です」と、VulnCheckの研究者は脆弱性インテリジェンス企業のレポートで述べています。

2025年上半期、VulnCheckはKEVデータベースに432件の新たなユニークな脆弱性（CVE）を追加しました。これは、同期間に米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）がKEVカタログに追加した132件のCVEの3倍以上です。VulnCheckはCISAよりも広範な監視アプローチを採用しており、GreyNoiseやShadowserver Foundationなどのハニーポットサービスを含む500以上の情報源から脆弱性情報や悪用証拠を収集しています。

たとえば、6月にShadowserverのデータを監査したところ、MITREによるCVE IDがまだ割り当てられていない32件以上の新たな脆弱性に対する悪用の証拠が明らかになりました。CISAのKEVカタログに含めるにはCVE IDが必要です。さらに、2025年に検出されたKEVの3分の1は、すでにCVE IDを取得しているにもかかわらず、NISTによる分析待ちでNational Vulnerability Database（NVD）にまだ登録されていませんでした。

NVDはCVEに関する詳細情報やコンテキストを提供することを目的としていますが、深刻なバックログに直面しています。

コンテンツ管理システムとネットワークエッジデバイスがKEVで最多

2025年上半期、コンテンツ管理システム（CMS）はKEV数が最も多く、86件に上りました。その多くはWordPressプラグインに起因しています。

2番目に多かったのはネットワークエッジデバイスで77件のKEVがありました。このカテゴリにはネットワークセキュリティ機器、ルーター、ファイアウォール、VPNゲートウェイなどが含まれ、過去数年で標的が増加しており、特に国家支援のサイバースパイグループによる攻撃が目立っています。

サーバーソフトウェア（61件）、オープンソースソフトウェア（55件）、オペレーティングシステム（38件）が続き、ハードウェアデバイス（カメラシステム、DVR、NVR、IP電話、その他の組み込み機器を含む）が6位となっています。VulnCheckは、ハードウェアデバイスカテゴリの多くの脆弱性がShadowserverによる攻撃データから判明したものであり、こうしたデバイスをインターネットに直接公開するのは決して良い考えではないと指摘しています。

ベンダー別では、Microsoftが最も多く32件のKEV（うち26件がWindows関連）、次いでCisco（10件）、Apple、Totolink、VMwareがそれぞれ6件となっています。ただし、すべての新しいKEVが新しい脆弱性というわけではありません。3分の1がゼロデイまたはワンデイですが、多くは2025年になって初めて悪用が始まった古い脆弱性であり、新たにKEVリストに加わっています。

また、2025年に公開された一部のゼロデイは、2024年にまでさかのぼる悪用証拠があったものの、見過ごされていたケースもありました。これは、既知の脅威アクター（業界がさまざまな別名で追跡しているグループ）によって悪用された181件のユニークなCVEのうち147件に該当します。

ロシアとイランの脅威活動が増加

セキュリティ業界は、新たに発見されたエクスプロイトの一部のみを既知の攻撃グループに帰属させており、また、それらのグループの一部しか出身国が判明していません。そのため、攻撃の発信元に関する統計は完全ではありません。

2025年上半期、VulnCheckがKEVデータベースに追加したCVEのうち181件が、業界レポートに基づき92の既知の脅威アクターに帰属されました。そのうち56グループのみが出身国を特定されています。

「脅威アクターを国別で見ると、やはり中国（20件）、ロシア（11件）、北朝鮮（9件）、イラン（6件）が最も多くのアクティブな脅威グループを持っています」とVulnCheckの研究者は結論づけています。「これらの国はサイバースパイ活動やサイバー攻撃で知られており、“四騎士”と呼ばれることもあります。」

中国が依然としてKEVを悪用する個別グループ数で最多ですが、2025年のKEV帰属件数は2024年と比べて減少しています。一方、ロシアのグループによる活動は増加しました。また、北朝鮮のKEV帰属も昨年より減少しましたが、イランは増加しています。ただし、これらの変動は業界レポートの発表時期による影響もあります。

たとえば、2025年のイラン帰属の増加は、セキュリティ企業Tenableが6月に発表したレポートで29件のKEVがイランの脅威アクターに帰属されたことに関連しているようです。同様に、2024年の北朝鮮KEV帰属の急増は、米国、英国、韓国の政府機関が共同で発表したレポートで、44件の新しいKEVがSilent ChollimaまたはAndarielとして追跡される北朝鮮の国家支援グループに帰属されたことに起因している可能性があります。

「ロシア帰属の急増は特定のレポートに起因するものではなく、さまざまな情報源に広く分布しているため、ロシアが依然として脅威活動と脆弱性悪用の主要な原動力であることが強調されます」とVulnCheckは述べています。