2025年、CISAの「既知の悪用されている脆弱性」が20%増加

増加する脆弱性：2025年CISA KEVレポートの主要な洞察

サイバーセキュリティの状況は進化を続けており、2025年には既知の悪用されている脆弱性（KEV）の報告が顕著に増加しました。この傾向はCybleによる分析で強調されており、同社はサイバーセキュリティ・インフラセキュリティ庁（CISA）のデータを精査しました。

脆弱性の波に乗る

2024年の安定期を経て、既知の悪用されている脆弱性の増加は2025年に勢いを増しました。CISAのカタログには同年245件の脆弱性が追加され、成長率は約20%という印象的な伸びとなりました。この増加は、直前の2年間に追加された185件と比べても大きく、2023年は約21%、2024年は低下して17%の成長率となっています。2025年末時点でカタログ化された脆弱性の総数は1,484件に達し、さまざまなソフトウェアおよびハードウェアの欠陥に伴うリスクが拡大していることを示しています。

過去の脆弱性を詳しく見る

興味深いことに、カタログではKEVデータベースに追加された古い脆弱性の増加も記録されました。2025年には、CISAが2024年およびそれ以前の年に属する脆弱性を94件記録しており、これは2023年と2024年に追加された古い脆弱性の平均65件と比べて、注目すべき45%増を示します。歴史的に重要な脆弱性に焦点を当てることは、それらが引き続き脅威であることを浮き彫りにしています。

古い脆弱性の中では、Microsoft Office Excelのリモートコード実行の欠陥であるCVE-2007-0671が、2025年に追加された中で最も古いものとして注目を集めました。一方、KEVカタログに現在も残る最古の脆弱性は、ランサムウェア攻撃に関連する権限昇格の欠陥であるCVE-2002-0367のままです。

ランサムウェアによる標的型の脅威

2025年にKEVカタログへ追加された新規脆弱性のうち、合計24件がランサムウェア集団によって積極的に悪用されているものとして特定されました。注目すべきものとしては、一般に「CitrixBleed 2」と呼ばれるCVE-2025-5777や、悪名高いCL0Pランサムウェア集団が悪用したOracle E-Business Suiteの脆弱性が挙げられます。Microsoft、Fortinet、Oracleといったベンダーが今年の憂慮すべき傾向の中で目立っており、多数の脆弱性が悪用対象としてマークされました。

脆弱性の世界における主要プレイヤー

例年どおり、MicrosoftはCISA KEVへの追加で記録された脆弱性数が最も多く、2025年は39件で、2024年の36件からわずかに増加しました。Apple、Cisco、Google Chromiumといった他のテック大手が続き、それぞれ7〜9件の脆弱性をKEVカタログに追加しました。前向きな動きとして、Adobe、VMware、Palo Alto Networksなど複数のベンダーがセキュリティ対策の改善を示し、前年と比べて脆弱性数の減少が見られました。

増加する共通の弱点

KEVカタログに追加された脆弱性の中では、共通するソフトウェア上の弱点の一貫したリストが浮かび上がりました。Cybleは、2025年のKEV追加分で広く見られた8つの具体的な弱点を特定しました：

• CWE-78：OSコマンドインジェクションが18件の脆弱性を占めました。
• CWE-502：信頼できないデータのデシリアライゼーションが14件の脆弱性に影響しました。
• CWE-22：パストラバーサルが13件で見られました。
• CWE-416：Use After Freeが11件で確認されました。
• CWE-787：境界外書き込みが10件の脆弱性に該当しました。
• CWE-79：クロスサイトスクリプティングが7回見られました。
• CWE-94およびCWE-287：コードインジェクションと不適切な認証も、それぞれ6回ずつ確認されました。

このように脆弱性が一貫して特定されていることは、さまざまな分野におけるサイバーセキュリティ戦略で、重点を絞ったアプローチが必要であることを示しています。

総じて、2025年のCISA KEVレポートは、ソフトウェア開発者とITセキュリティ専門家の双方に、継続的な警戒と適応を求める動的な脅威環境を明確に描き出しています。