脆弱性悪用が2025年のデータ侵害の最も一般的なアクセスベクトルであったことが、Verizonの年次データ侵害調査報告書(DBIR)の最新版で示されています。
分析されたセキュリティインシデント数は31,000件に増加しました。このうち、22,000件以上が確認された侵害で、昨年の12,195件の確認された侵害と比較するとほぼ2倍です。
侵害の約31%がパッチが当たっていない脆弱性の悪用の結果でした。昨年のDBIRで最大のエントリーポイントであった認証情報濫用は、侵害の13%を占めていました。
Verizonの研究者によると、脅威アクターはAIを活用して脆弱性悪用を加速させており、防御のための時間枠は数か月から数時間に短縮されています。
「AIによる既知の脆弱性の急速な兵器化は、セキュリティチームに能力危機をもたらす可能性があり、基本的なセキュリティとリスク管理実践を優先する緊急の必要性を強調しています」とVerizonは述べています。
Verizon 2026 DBIR(PDF)はまた、組織が脆弱性の修復に苦労し続けていることを示しています。完全なパッチ適用の中央値は2025年で43日に増加し、前年の32日から上昇しました。
レポートによると、組織は昨年、CISAの既知の悪用された脆弱性(KEV)カタログのセキュリティ欠陥の26%のみにパッチを当てました。これは2024年の38%から低下しています。
組織がパッチを当てる必要があった重大な欠陥の数(報告書ではKEVリストに含まれるバグとして定義)は、前年のデータセットと比較して中央値で50%高かったです。
「Verizonの2026 DBIRの調査結果は、何年も前から言っていることを強化しているため、驚くべきものです:悪用が今や最大の侵害ベクトルであり、組織はまだ単純に欠陥を十分に速く修正していません」とVeracode共同創設者でチーフセキュリティエバンジェリストのChris Wysopalは述べています。
Verizonの新しいレポートによると、ランサムウェアは2025年の確認された侵害の48%に関与し、前年の44%から増加しました。一方、身代金の支払いは減少し、支払われた中央値が$140,000以下に低下しました。レポートによると、ランサムウェア被害者の31%のみが支払いました。
サードパーティソフトウェアとサービスへの依存の増加は、組織の攻撃面を拡大し、昨年のサードパーティ関与による侵害を60%増加させ、合計の48%に達しました。
「サードパーティクラウド露出での時間経過に伴う修復を見ると、サードパーティ組織の23%のみがクラウドアカウントの多要素認証(MFA)の欠落または不適切に保護されたものを完全に修復し、すべての調査結果の50%が1か月以内に解決されました」とDBIRは述べています。
Verizonのレポートはまた、脅威アクターがターゲティング、初期アクセス、マルウェアとツール開発のために生成AIにますます依存していることを示しています。
「中央値の脅威アクターは15の異なる文書化された技術でAI支援を調査または使用し、一部のアクターは40または50ほど多くを活用しています。マルウェアとツーリングのAI支援開発のほとんどは、よく知られた定義された攻撃技術に関連していました。中央値で55の既知の既存マルウェアサンプルが同じ機能を実行していました」とレポートは述べています。
Verizon 2026 DBIRによると、侵害の62%が人間要素を含んでいました。ソーシャルエンジニアリングは侵害の16%を占め、中央値の成功率はメールを経由したモバイル中心のフィッシング攻撃でより40%高かったです。
シャドウAI、つまり生成AIサービスの不正使用は、レポートが示すように、企業を引き続き悩ませており、ユーザーの67%が非企業アカウントを使用してコーポレートデバイスからAIサービスにアクセスしています。全体的に、従業員の45%が通常のAIユーザーです。昨年の15%から増加しています。
「データポイントは明確ですが、業界への教訓は強調されています。セキュリティチームは下流の修復のみに依存することはできません。攻撃者がますます一般的なコーディング弱点をターゲットにするにつれ、組織は開発中に脆弱性を見つけて修正することを優先する必要があります。数か月後、または数年後ではなく、時間、コスト、およびリスクの負担が倍増するときではなく。これは、GenAIがコード脆弱性の計算を引き続き変更するため、さらに重要です」とWysopalは述べています。
