2025年第1四半期に、159件ものCVE識別子が野外で悪用されたと報告されており、これは2024年第4四半期の151件から増加しています。
“脆弱性が迅速に悪用され続けており、28.3%の脆弱性がCVE公開から1日以内に悪用されています”と、VulnCheckは報告書でThe Hacker Newsに共有しました。
これは、公開から1日以内に実際の攻撃で武器化された45のセキュリティ欠陥を意味します。他の14の欠陥は1か月以内に悪用され、さらに45の欠陥は1年の間に悪用されました。
サイバーセキュリティ企業によれば、悪用された脆弱性の大部分はコンテンツ管理システム(CMS)で特定されており、その次にネットワークエッジデバイス、オペレーティングシステム、オープンソースソフトウェア、サーバーソフトウェアが続いています。
内訳は以下の通りです –
- コンテンツ管理システム(CMS) (35)
- ネットワークエッジデバイス (29)
- オペレーティングシステム (24)
- オープンソースソフトウェア (14)
- サーバーソフトウェア (14)
この期間中に悪用された主要なベンダーとその製品は、Microsoft Windows (15)、Broadcom VMware (6)、Cyber PowerPanel (5)、Litespeed Technologies (4)、およびTOTOLINKルーター (4)です。
“平均して、毎週11.4件のKEVが公開され、毎月53件が公開されました”とVulnCheckは述べています。”CISA KEVは四半期中に80の脆弱性を追加しましたが、そのうち12件だけが以前の公的な悪用の証拠がありませんでした。”
159の脆弱性のうち、25.8%がNIST国家脆弱性データベース(NVD)による分析待ちまたは進行中であり、3.1%が新しい「延期」ステータスに割り当てられています。
Verizonの新たに発表された2025年データ侵害調査報告書によれば、データ侵害の初期アクセスステップとしての脆弱性の悪用が34%増加し、全侵入の20%を占めています。
Googleが所有するMandiantによって収集されたデータも、5年連続で最も頻繁に観察された初期感染ベクトルが悪用であり、盗まれた資格情報がフィッシングを超えて2番目に頻繁に観察された初期アクセスベクトルであることを明らかにしています。
“初期感染ベクトルが特定された侵入のうち、33%が脆弱性の悪用から始まりました”とMandiantは述べています。”これは2023年の38%からの減少であり、2022年の32%とほぼ同じです。”
とはいえ、攻撃者が検出を回避しようとする努力にもかかわらず、防御者は妥協を特定する能力を向上させ続けています。
グローバルな中央値の潜伏時間、つまり攻撃者がシステムに侵入してから検出されるまでの日数は11日であり、2023年から1日増加しています。