Verizonの DBIR が分析した 31,000 件のインシデント において、脆弱性の悪用が認証情報の悪用を大きく上回り、主要な侵入経路となったため、パッチ管理戦略を見直す必要があるかもしれません。
パッチ適用実践は最近激しい圧力を受けており、悪用までの時間ウィンドウが加速しています。AI がアタックチェーンに支援を提供することが増えると、この新しい現実はさらに悪化する可能性があります。
サイバー防御者には、脆弱性の悪用についてもう一つ懸念があります:Verizon の最新版である年次データ侵害調査報告書(DBIR)によると、脆弱性の悪用は盗まれた認証情報をセキュリティ侵害への最も一般的なエントリーポイントとして大きく上回りました。
Verizon の研究者は、悪用された脆弱性が 31% のケースで侵害の根本原因であり、認証情報の悪用がセキュリティ障害の 13% の原因であることを発見しました。企業におけるパッチ管理の困難さを示唆して、重大な脆弱性の 4 つに 1 つだけ(26%)が 2025 年に完全に修復されており、中央値のパッチ時間は前年の 32 日から 43 日に上昇しました。Verizon の DBIR によると。
根本原因分析
Verizon の研究は、31,000 件のセキュリティインシデント (そのうち 22,000 は確認されたデータ侵害) の分析に基づいており、145 の国にまたがる被害者が関わっています。
CSO に問い合わせたインシデント対応の専門家は、企業への侵入手段として脆弱性悪用が増加していることは事実であると確認しました。
「攻撃者は大規模で最小限の労力で進むパスをたどり、現在そのパスは未パッチのペリメーターおよびエッジデバイスを通っており、動作するエクスプロイトは事前アクセス、フィッシングされたユーザー、および購入するための侵害データを必要としません」と、オフェンシブセキュリティおよび脆弱性評価プラットフォーム Pentest-Tools.com のセキュリティマネージャー Daniel Bechenea 氏は述べています。
Bechenea は、既知のエクスプロイトのパッチ適用が重大な脆弱性の増加に追いつけていないため、悪用が認証情報の悪用を上回ったと主張しています。
Veracode の共同創業者兼チーフセキュリティエバンジェリスト Chris Wysopal 氏も同意しています。
「組織はまだ脆弱性を十分に迅速に修復していません」と彼は言っています。
Verizon の分析によると、CISA 既知悪用脆弱性(KEV)のわずか約26% が 2025 年に完全に修復されており、前年の38% から低下しました。一方、組織がパッチを適用する必要のある重大度の脆弱性のボリュームは前年比 50% 増加しました。
Bridewell のインシデント対応マネージャー James John 氏は、セキュリティ侵害の全ライフサイクルにおける脆弱性悪用と認証情報悪用の相対的な重要性について、対照的な見方を提供しました。
「私たちは依然として、アイデンティティが主要なボトルネックであることを見ています」と John 氏は言っています。彼のサイバーセキュリティサービスおよびインシデント対応企業は Verizon レポートにデータを提供しました。「悪用は現在玄関に到達する競争に勝つかもしれませんが、盗まれた認証情報はまだ私たちが対応するほとんどの侵入を通じて実行されるスレッドです。彼らはアタックの後半で、横方向に移動し、重要なデータに到達するために使用されるだけです。」
Verizon レポートはまた、初期侵害アクセスの 16% をフィッシング、前年並みで、6% をプリテキスティングに起因していると述べており、研究者はプリテキスティングはランサムウェアと恐喝攻撃でより一般的になったことを指摘しました。
後者のポイントはやや、レポートの認証情報結論をあいまいにしています。John 氏は指摘しています。
「認証情報悪用の明らかな減少の一部は現実ではなく測定であり、認証情報盗難とプリテキスティングは一緒にぼやけています」と彼は CSO に伝えています。
企業は外部ベンダーに依存するようになり、脅威アクターはまた拡張サプライチェーンをターゲットにしており、第三者を巻き込む侵害は Verizon の DBIR でカバーされたすべてのセキュリティインシデントの 48% を占めるようになりました。
Verizon の DBIR は現在 19 年目で、法執行機関、フォレンジック企業、および全国 CERT などのサイバー産業シェアリンググループからの実世界のインシデントおよび侵害事例作業と、Verizon が独自のクライアントとの作業からのデータを組み合わせています。業界のベンチマーク研究と見なされているデータ侵害に関する調査結果は、最近の広く比較可能な研究によってサポートされています。
例えば、Google Cloud Security の最新 Cloud Threat Horizons Report も、攻撃者が主に盗まれたまたは弱い認証情報に頼るのではなく、パッチされていないサードパーティソフトウェアの脆弱性を悪用することにピボットしていることを発見しました。
Google Cloud の研究によると、ソフトウェアの脆弱性は最大の初期アクセスベクトル(インシデントの 44.5%) となり、認証情報悪用を上回りました。
AI はすでに脅威景観に追加されている
最新の DBIR レポートは 2025 年のデータを使用していますが、Anthropic の Mythos などの最新のフロンティア AI セキュリティモデルの進歩は先行していますが、サイバー犯罪者による AI への依存が増加することは、セキュリティ侵害に関する詳細な事後分析から浮かび上がっています。
「AI は脅威アクターによって、既知の脆弱性を悪用するまでの時間を加速させ、防衛のウィンドウを数か月から数時間に縮小するために活用されています」と Verizon は警告しました。
先週、Google Threat Intelligence Group(GTIG)は、AI の助けを借りたサイバー犯罪グループによって開発されたゼロデイエクスプロイトの証拠を発表しました。
Huntress のマネージドセキュリティサービスベンダーの EMEA 向け vCISO およびサイバーセキュリティアドバイザー Muhammad Yahya Patel 氏は、Verizon DBIR の調査結果を踏まえ、CISO は脆弱性管理とアイデンティティセキュリティを急速に改善する必要があると述べています。
「脆弱性の悪用、認証情報盗難、マルチチャネル社会工学、およびサプライチェーンの侵害はすべて同時に規模で展開されています」と Patel 氏は述べています。「最も恵まれた位置にある組織は、これらすべてのベクトル全体で多層防御を構築したものです。」
Patel は付け加えています。「より多くの組織が脆弱性管理プログラムをスケジュール化されたパッチサイクルではなく、悪用のウィンドウを数日および数週間開いたままにするのではなく、リアルタイム悪用インテリジェンスに結びついたリスクベースの継続的なアプローチにシフトする必要があります。」
Microsegmentation および侵害封じ込めベンダー Illumio の業界戦略担当副社長 Raghu Nandakumara 氏は、企業のパッチ適用実践が改善されるにつれてより多くの脆弱性が修復されているにもかかわらず、修復が必要な脆弱性のバックログはまだセキュリティチームが追いつくことができるよりも速く成長していると主張しています。
「スパイク(脆弱性インスタンス)は、より多くの AI 支援検出、サードパーティおよびオープンソースコードへの依存の増加、接続システムの増加数、および数年前よりもはるかにアクティブおよびインセンティブが与えられるようになった開示エコシステムなど、複数の力の収束によって駆動されています」と Nandakumara 氏は述べています。
ランサムウェアペイメントは減少していますが脅威は依然として強力です
ランサムウェアは DBIR でカバーされたすべての侵害の近い半分(48%)の特徴でしたが、前年の 44% から増加していますが、身代金の支払いは減少しています(被害者の 69% は支払いませんでした)。
Atsign ネットワークセキュリティ企業の CEO Aparna Rayasam 氏は、この支払いレートの変化がランサムウェアを異なるビジネスモデルへ進化させることを促していると述べています。
「被害者は暗号化キーの支払いをしなくなったため、攻撃者はデータ流出と恐喝に大きくシフトしました」と彼は言っています。「攻撃者は個別の支払いが少ないことを補うために、より多くの数の安価で自動化された攻撃を実行しています。」
Rayasam は付け加えています。「AI の使用はランサムウェア攻撃者にとってこのモデルをさらに有利にします。」
Bridewell の John 氏は、ランサムウェア攻撃者は企業を攻撃するのに劣らない成功を収めていますが、被害者から支払いを抽出するのがより困難になっていると主張して、対照的な見方を提供しました。
「低下(ランサムウェア支払い)は真の進歩を反映しており、攻撃者がその優位性を失っていません」と John 氏は CSO に伝えています。「より多くの組織はバックアップをテストし、復旧をリハーサルしているため、支払いを信じられるほど拒否でき、DBIR は拒否がデータ盗難だけでなく暗号化を含むケースでも増加していることを指摘しています。」
この支払いレートの削減は、攻撃者がビジネスを中断してより大きな圧力をかけて支払うために試みをより積極的にしていることを意味します。
例えば、イギリスの小売大手Marks & Spencerは、ランサムウェア攻撃の結果として数週間の停止と数百万の損失を被りました。
「レバレッジは「私たちはあなたのデータを持っている」から「私たちはあなたをオフラインのままにすることができます」にシフトしており、これは必要不可欠なサービスに影響するダウンタイムがはるかに重要です」と John 氏は結論付けています。
