昨年、攻撃者は手元の脆弱性を十分に活用し、Verizonが先週発表した最新のデータ侵害調査報告書で分析した22,000以上のブリーチにおいて、エクスプロイトが最大の初期アクセスベクトルとなりました。
この大規模な年間調査では、2025年10月までの1年間における悪用された脆弱性の急増が明らかになりました。悪用された欠陥は、既知のすべての初期アクセスベクトルの31%を占め、前年の20%から跳ね上がりました。
悪用された脆弱性の増加は、脆弱性管理の「シーシュポス的課題」を反映していると、研究者は報告書に記載しています。「簡潔に言えば、脆弱性は多すぎ、すべてにパッチを適用する時間が足りないことがしばしばあります。」
組織は、システム全体の技術に影響する脆弱性の洪水に対応するのに苦労しています。このスライドは特に憂慮すべきもので、サイバーセキュリティインフラセキュリティ庁の既知の悪用された脆弱性カタログの欠陥において減少しています。
Verizonが2025年に調査した13,000以上の組織では、CISAのカタログ内の重大な脆弱性のうち26%のみが完全に修復されました。これは前年の38%から低下しています。
「脆弱性が検出されて完全にパッチが適用されるまでの経過時間の中央値についても、より悪い結果があります」と、研究者は報告書に記載しています。「当社の新しい中央値は43日で、昨年の32日よりもほぼ2週間長くなっています。」
Verizonはまた、組織がパッチを適用する必要があったKEV脆弱性の中央数が、2024年の11から2025年の16に跳ね上がったことを指摘しています。
CISAのKEVカタログは2月の時点で1,500以上のCVEを含んでおり、そのうち65%が前年中に悪用されたと、報告書に記載されています。
Verizonは報告書で、CISA KEV CVEの5つの最も一般的な弱点を、境界外読み取り、ヒープベースのバッファオーバーフロー、解放後の使用、ファイル名またはパスの外部制御、および互換性のない型を使用したリソースへのアクセスと特定しました。
昨年、攻撃者の動機は比較的一貫していたままで、経済的に動機づけられたサイバー犯罪者がすべてのブリーチの88%を占めました。スパイ活動に駆り立てられた国家関連グループからの攻撃が残りを占めました。
「ランサムウェアは引き続き、私たちが見る最も破壊的で影響力のあるブリーチのタイプの1つです。野球場のファーストフードから成人向け飲料の価格まで、すべてのものの価格と同様に、上昇傾向は続いています」と、研究者は報告書に記載しています。
ランサムウェアは昨年すべてのブリーチの48%を占め、2024年の44%から増加しました。しかし、Verizonはランサムウェアにおいても肯定的な傾向を観察しました。
身代金の支払いは継続して減少し、被害者の69%が支払わなかったと報告し、中央値の支払いは2024年の$150,000から昨年はほぼ$140,000に低下しました。
ランサムウェアの追跡は、研究者と当局にとって課題であり続けています。
「報告されているものと実際に起きたことの現実の間に、ますます大きな乖離があります。これは、脅威アクターが古いブリーチを再利用し、他の犯罪パートナーからのブリーチを再投稿し、犯罪界での名声を高めるために完全に根拠のないブリーチを作成していることが少なくない理由です」と、Verizonは報告書に記載しています。「これらのサイバー犯罪者は完全に信頼できないかもしれないと考え始めています。」
しかし、ランサムウェア活動に関する議論の余地のないデータの欠如にもかかわらず、研究者は以下のように結論づけました:「ランサムウェアは依然としてサイバーセキュリティのヨガパンツです。ユビキタス、頑固に人気があり、あなたの近くの予期しない場所に現れています。」
翻訳元: https://cyberscoop.com/verizon-data-breach-investigations-report-2026/
