出典:Tiny Ivan / Alamy Stock Photo
新たな調査により、攻撃者がAI支援開発を活用することで、既知の脆弱性に対するエクスプロイトの開発にかかる時間が125日からわずか半日にまで短縮され、脆弱性スキャナーがその速度に追いつけなくなっていることが明らかになった。
Cogent Researchは69,159件の共通脆弱性識別子(CVE)を分析した結果、2025年1月時点では攻撃者がそれらを悪用する手法の開発に平均125.3日を要していたと、本日公開されたレポートで報告されている。Cogentによると、2026年4月までに脅威アクターはAIを活用することでその時間をわずか0.5日にまで短縮し、脆弱性開示後のリスクが最も高い期間においてセキュリティチームに重大な可視性のギャップをもたらしているという。
この達成は、広く利用可能な大規模言語モデル(LLM)を用いて実現された。これらのモデルはパッチの差分 — ソフトウェアの脆弱性が修正された際に公開されるコード変更のセット — を読み取り、概念実証(PoC)エクスプロイトを生成できると、Cogent SecurityのCo-FounderでCTO(最高技術責任者)のGeng Sng氏はDark Readingに語った。「我々のデータは、最先端モデルではなく現行世代のAIツールですでに起きていることを捉えています」と同氏は述べる。
しかし、「熟練したセキュリティ研究者レベルの動作するエクスプロイト」を開発できるとされ、すでに世界市場に警戒感を与えているAnthropicのClaude Mythosが広く普及すれば、エクスプロイト発見までの0.5日という数値も過去のものになるだろうと同氏は言う。
「複数の研究者が、Mythosクラスの能力の普及は6〜12か月先と見ています」とSng氏は述べる。「それが実現した時、我々が計測したエクスプロイト速度の圧縮は上限ではなく、ベースラインになるでしょう。」
分析が示す「可視性のギャップ」
Cogentの調査には、環境への脅威を特定するためにスキャナー検知に依存するセキュリティチームにとってさらに憂慮すべき発見が含まれていた。この種の検知は、ネットワークやシステムの脆弱性を探査する自動ツールを識別・監視するものであり、組織がシステム侵害前に潜在的な脅威に先手を打つために不可欠なプロセスである。
調査結果を導くため、CogentはNational Vulnerability DatabaseおよびMITRE CVEを含む公開開示データベースから69,159件のCVEを分析した。主要分析セットには2025年および2026年に公開された57,860件のCVEが含まれ、CVE公開のタイムスタンプが記録された。研究者らはさらに、大手商用スキャニング技術3社(Tenable、Qualys、Rapid7)の検知シグネチャ公開日も調査した。
分析の結果、重大な脆弱性の83.2%が防御側にとってCogentが「可視性のギャップ」と呼ぶ状況を生み出していることが判明した。重大なCVEの半数以上(55.7%)は主要スキャナーによる検知カバレッジを一切受けていなかった。シグネチャを受けた残りの脆弱性のうち、62%はすでに検知が可能になる前にエクスプロイトが出回っていたという。
検知に失敗しているのは組織ではなくスキャナー
「ほとんどのセキュリティチームは、スキャンサイクルが遅すぎることをすでに認識しており、月次や週次のスキャンから継続的なスキャンに近い形に移行しようとしているチームも多い」とSng氏は認める。しかし、Cogentの調査が示すのは、可視性のギャップの原因が組織のスキャンサイクルの遅さではなく、研究者が分析した前述のスキャニングベンダーの検知能力にあるということだと同氏は言う。
調査では、2025年1月以降に公開された全CVEの54%が、これらのベンダーのいずれからも検知シグネチャを受けていないことが判明した。スキャナー間でも対応時間に差があり、開示後の検知ラグの中央値はTenableが0.1日、Qualysが2.9日、Rapid7が5.1日となっている。
重大な脆弱性は、検知シグネチャが提供される前にエクスプロイトが実行される可能性が最も高く、レポートによるとTenableでは重大CVEの62.5%、Qualysでは64.5%、Rapid7では73.5%に影響を与えているという。Dark Readingはレポートで言及された3社に連絡を取ったが、いずれも本稿執筆時点でコメントの要請に回答していない。
AIによるエクスプロイトの急増に今から備える
AIを活用したエクスプロイト開発はすでにセキュリティチームの注目を集めており、その加速する脅威に対する防御戦略の転換が進んでいる。業界団体は防御側に対し、ポストMythosのエクスプロイト急増に備えるよう警告している。
防御側の新たな戦略の一つは、ソフトウェアインベントリ分析を「早期警告レイヤー」として活用することだとSng氏は言う。毎朝、新たに開示されたCVEが自社環境で稼働しているソフトウェアバージョンに影響するかどうかを確認することで、「スキャナーが脆弱性の存在を把握する前に緩和策を開始できる」という。
しかし、組織が採用すべきさらに広範な変革は、ソフトウェアインベントリデータ、ソフトウェア部品表(SBOM)マッチング、および開示後数分以内に影響を受けるアセットを特定できる脅威インテリジェンスフィードを活用した並行検知パスを構築することだとSng氏はDark Readingに語る。「スキャナーは大規模な検知の確認と修復の検証に適したツールであることに変わりはありませんが、もはや対応の起点にはなれません」と同氏は述べる。
Cogentはまた、組織に対してソフトウェアインベントリを継続的にマッピングし、新たな開示が行われた瞬間にそれと照合するよう推奨している。これはスキャナーのシグネチャがまだ存在しない場合でも機能する唯一の有効な検知手法であるという。
「現時点で最も有利な立場にある組織は、スキャナーベンダーがプラグインを提供しているかどうかに関わらず、新たなCVEが公開されてから数分以内に『影響を受けるソフトウェアを実行しているか?』という問いに答えられる組織です」とSng氏はDark Readingに語った。
翻訳元: https://www.darkreading.com/threat-intelligence/ai-assisted-exploit-development-scanner-detection
