米国のサイバーセキュリティ機関CISAは現在、実際に悪用されているソフトウェアおよびハードウェアの脆弱性を1,484件把握している。
2025年を通じて、同機関は既知の悪用されている脆弱性(KEV)リストに245件のセキュリティ欠陥を追加し、その中にはランサムウェア攻撃で悪用されたバグが24件含まれている。
CISAのKEVリストは2021年11月の一般公開以降、着実に増加しており、昨年は3年間で最大の拡大率となる20%を記録した。
サイバーセキュリティ企業Cybleは説明している。「データベース公開直後は追加される脆弱性が急増したが、2023年と2024年には増加が安定し、2023年は187件、2024年は185件の脆弱性が追加された」。
2025年にKEVカタログへ追加された弱点の大半は新規の脆弱性だったが、CISAは古いバグも見過ごさなかった。昨年は、2024年以前に開示された欠陥94件がリストに追加されている。
2025年にCISAのKEVへ追加された最も古い脆弱性はCVE-2007-0671で、Microsoft Officeにおけるリモートコード実行(RCE)の問題だ。
Cybleが指摘するように、「カタログ内で最も古い脆弱性は2002年のもの、すなわちCVE-2002-0367のままである。これはWindows NTおよびWindows 2000のsmss.exeデバッグサブシステムにおける権限昇格の脆弱性で、ランサムウェア攻撃で使用されていることが知られている」。
ランサムウェア集団に悪用された24件のセキュリティ欠陥のうち、広範に悪用されているCitrixBleed 2(CVE-2025-5777)と、Oracle E-Business Suite(CVE-2025-61882およびCVE-2025-61884)の欠陥が、主に影響範囲の広さから際立っている。
Fortinet、Ivanti、Microsoft、Mitel、SAP、およびSonicWall製品の新たな脆弱性も、ランサムウェア攻撃の標的となっている。
CybleがCISA KEVリストに2025年に追加された項目を分析したところ、OSコマンドインジェクション、信頼できないデータのデシリアライズ、パストラバーサル、use-after-free、境界外書き込み、XSS、コードインジェクション、不適切な認証が、最も目立つバグの種類だった。
連邦政府機関、あらゆる規模の組織、そしてソフトウェア開発者は、環境をより適切に保護し、脅威アクターが攻撃で狙っている最も一般的な弱点への認識を高めるために、KEVリストを監視すべきだ。
翻訳元: https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries/
