出典:Cagkan Sayin via Alamy Stock Photo
ベライゾン・ビジネスの「2026年データ侵害調査報告書」(「DBIR」)によると、ディフェンダーは過去にないほどの脆弱性の流入に対処しており、パッチの優先順位付けはかつてないほど重要になっている。今年の報告書は脆弱性の悪用をめぐるいくつかの継続的なトレンド、そして脅威アクターがAIを悪用することなどを確認しましたが、「2026 DBIR」は業界が大きな変化を経ている中で、サイバーセキュリティの基本に固執することをより広く推奨しています。
そして実際に、過去1年間でディフェンダーは、ソフトウェアコンポーネントに蔓延する自己複製ワームの処理から、重大なゼロデイ脆弱性をすべて単独で発見できるとされている大規模言語モデル(LLM)への準備まで、あらゆることに対処してきました。
「このすべての変化の中で、1つのメッセージは変わりません:脅威環境は進化し続けますが、基本が最も重要です。」報告書は述べている。「強力なサイバーセキュリティの基本(資産と第三者の明確な可視性、規律のあるパッチ管理、実践的な対応計画、および安全な行動を支援・可能にする文化)に根ざした組織は、今日の現実と将来何が来ようとも対処するためにより良い立場にあります。」
「DBIR」で最も顕著なのは、脆弱性の悪用が昨年の侵害の最も一般的な初期アクセスベクトルであることを示す統計であり、前年比31%の増加です。一方、重大な脆弱性(CISAの既知の悪用された脆弱性カタログで定義されたもの)のうち、2025年に組織によって完全に修復されたのはわずか26%であり、前年の38%と比較しています。わずか半分強(58%)が昨年部分的に修復され、16%は対処されていません。
さらに、中央値の解決時間は2週間増加し(43日、2024年の32日から増加)、データセットによると、組織は昨年よりも50%多くの重大なバグにパッチを当てる必要がありました。これは特に注目に値します。なぜなら「2025 DBIR」は修復の観点から顕著な改善を示したからです(前年からの継続的なトレンド)。
組織のパッチ適用がおそらく悪化した一方で、ベライゾンはAI支援のバグハンティングによって推進されていると考えられる、年間の脆弱性検出数の劇的な増加も観察しました。「2022年のデータセットには6,870万件のレコードがあり、2025年には5億2,730万件がありました。ほぼ8倍のボリュームです」と「DBIR」は述べています。
組織が脆弱性を把握し続けるのに苦労する理由
これが起きている理由は複雑です。重大な脆弱性の量は膨大であり、悪くなるばかりです。「DBIR」が指摘するように、最もリソースが豊富な組織でさえ、初週に30~40%しかパッチすることができません。
組織はまた複雑な環境を持っており、IT、運用技術(OT)、モノのインターネット(IoT)機器、AI、クラウド製品をさまざまな程度に含むことができ、すべてが人間と非人間のアイデンティティのレンジによって使用され、複雑なアクセスと認可プロセスが必要です。一方、これらの同じ組織はリソースと運用上の制約、および競争する優先事項も持っています。その結果、一部の脆弱性は必然的に数週間または数か月間パッチされないままになります。
攻撃者はこのことを知っています。数年前の古い脆弱性は引き続き悪用され、新しいAI駆動の未来の最大の受益者の1つが脅威アクター自身であるという事実は役に立ちません。脅威アクターは大規模言語モデル(LLM)を使用してマルウェアを開発し、脆弱性を見つけ、フィッシング囮を構築し、偵察を自動化し、その他を実行します。
「脅威アクターは、ターゲティング、初期アクセス、マルウェアおよび他のツールの開発を含む、攻撃のさまざまな段階で支援するためにGenAIを明らかに使用しています」と「DBIR」は述べています。「中央値の脅威アクターは15の異なる文書化された技術で調査したか、AI支援を使用し、一部のアクターは40または50のように多くを活用しています。」
Mondooの最高セキュリティ責任者であるパトリック・ミュンチはダークリーディングに対し、脅威アクターはAIの面で非対称的な優位性を経験していると述べています。なぜなら、敵は成功するための1つのパスを見つけるだけでよく、AIは悪用の試みのコストをほぼゼロに低下させるからです。とはいえ、彼はこの非対称性が恒久的だとは思っていません。彼はAI攻撃に対抗するための将来は、エージェント的な修復にあると主張しています。
「ギャップを埋めるディフェンダーは、人間のセキュリティアナリストがわずかに優れたチケットを書くのを支援する副操縦士としてではなく、人間のボトルネックなしで検出、文脈化、優先順位付け、修復する自律的なワークフローとして、AIをエージェント的に使用する者です」と彼は予測しています。
脆弱性の洪水を乗り越える方法
誰に聞くかによって、今日の組織を圧倒している脆弱性に最もよく対処する方法についてさまざまな答えが見つかります。問題を管理するために意図された多くのサービスとしてのソフトウェア(SaaS)ツールの1つを使用すること、またはLLMの統合、またはまったく別のものを推奨する人もいるかもしれません。
ベライゾンの推奨事項はより簡潔であり、パッチ優先順位付けの実績のあるアドバイスです。すべての脆弱性が平等に作成されるわけではなく、一部の欠陥は他の欠陥よりも環境に直接的なリスクをもたらします。「DBIR」のアドバイスは、アクティブな悪用または最近性に基づいて優先順位を付けることです。
古い脆弱性は新しい脆弱性と同じように悪用に直面する可能性がありますが、研究者は「脆弱性が悪用されてからの時間が長いほど、近い将来に再び悪用される可能性は低くなる」ことを発見しました。最近の悪用に基づいて、ベライゾンは悪用の再燃の可能性は約30日後、90日でも低下し、約9ヶ月後でも低下することを発見しました。1年後、新しい悪用が見られる確率は、それが決して悪用されなかったのと同じです。
報告書はまた、異なる環境が異なるニーズを持っている場合でも、脆弱性の年齢にかかわらず、アクティブな悪用は修正の階層の最初に来るべきであることに注目しています。一部の新しい脆弱性はターゲットにされることはないかもしれませんが、多くの継続的に悪用された欠陥は数年前のものです。
ベラコードの戦略的製品管理副社長であるティム・ジャレットは、脆弱性の流入を管理する1つの方法は、まず第一にアクティブな悪用に直面する前に、検出をシフト左することだと述べています。しかし、すでに環境にある脆弱性については、ジャレットはKEVと悪用可能性予測スコアリングシステムを通じて悪用ステータスに基づいて優先順位を付けることを(「DBIR」が推奨するように)推奨するか、自動修復ツールに依存することを推奨しています。
翻訳元: https://www.darkreading.com/threat-intelligence/verizon-dbir-enterprises-vulnerability-glut
