データは国家脆弱性データベースおよびCISAの既知の悪用された脆弱性カタログ出典: Robert Lemos.
また1年、また脆弱性報告の記録更新である。
9年連続で、報告された脆弱性の数が新記録を樹立し、国家脆弱性データベースから分析されたデータによると、48,177件の問題に2025年の共通脆弱性識別子(CVE)が割り当てられた。セキュリティ問題の大量発生は企業のパッチ適用プロセスの優先順位付けの取り組みを複雑にしているが、CVE報告エコシステムにおける継続的な変化は、サイバーセキュリティリスクの増加よりも急増に関係している。
CVEプログラムを支援する非営利政府技術組織であるMITREは、もはやCVE識別子の主要発行者ではなく、初めて4位に転落した。代わりに、WordPressインストールの保護を支援する3社 — Patchstack、Wordfence、WPScan — が2025年に特定されたすべての脆弱性の23%を占め、一方、Linuxカーネルおよび研究者主導のCVE番号付与機関であるVulDBなどは、データベースへの独自の提出を大幅に増やし、2番目と3番目に高い脆弱性報告量を持つCNAとなった。
全体として、割り当てられたCVE識別子の増加は、サイバーリスクが増加していることを示すのではなく、報告と発見のエコシステムがより健全になっていることを示していると、CVE.icuでNVDデータの分析を維持しているセキュリティ研究者のJerry Gamblinは言う。
「個人的には、人々が発見したすべてを報告していれば、数字は簡単に10倍にもなり得ると信じています」と彼は言う。「はい、CVEは昨年21%成長しましたが、それは…恐れるようなことではありません。私たちは脆弱性の報告が上手になっているだけです。LLM、AI、さらに多くのセキュリティ研究者が物事を発見し報告しています。」
年間を通じて、CVEプログラムおよびデータを充実させコンパイルする組織とインフラストラクチャも重大なハードルに遭遇した。国家脆弱性データベースのエントリのデータ品質は2つの重要な点で不足していた:2025年のCVEエントリの約90%のみが付随する共通脆弱性評価システム(CVSS)スコアを持ち、60%未満が共通プラットフォーム列挙(CPE)エントリを持っており、これはこれまでのそのデータの最も重大な不足である、とGamblinの分析によると。
2024年、提出される脆弱性の量にすでに圧倒されていた国立標準技術研究所は、当初、国家脆弱性データベースのデータを充実させる契約の更新に失敗した。資金提供の復元と追加の支援があっても、脆弱性報告のペースはバックログを作成し、2018年以前のすべての脆弱性を「延期」としてマークするなど、前例のない措置を必要とした。これらの問題により、Gamblinなどの一部の人々は、データを維持しクリーンアップするための国際的な取り組みを求めている。
強化された報告が数字を押し上げる
年間脆弱性報告の急速に拡大する量の主な原因は、CNA(特定の業界または専門分野にCVEを割り当てる組織)の数の継続的な拡大である。初めて、比較的新しいCNAがMITREをトップの座から置き換え、3つの組織が脆弱性数を推進する異なるトレンドを代表している。
出典: Robert Lemos、国家脆弱性データベースのデータに基づく。
2025年に7,000件以上の問題を提出したWordpressセキュリティ企業Patchstackは、最も多産なCNAであり、CVE量を大幅に増加させた3つのWordPress関連組織の1つであった。全体として、WordPressとそのプラグインエコシステムの脆弱性は、2025年に割り当てられたCVEの総数の約4分の1(23%)を占め、過去数年と比較して大幅な増加となったが、これは主に3社が問題を発見し保護を製品に組み込む努力によって推進された。
リストの2位には、研究者主導の脅威インテリジェンスサービスVulDBが5,900件のCVEを発行したが、これは一部、同社がアジアの研究者とのコミュニケーションを容易にすることに焦点を当てているためであると、VulDBの脆弱性研究リーダーであるMarc Ruefは言う。
「歴史的に、アジアのセキュリティ研究者とアメリカまたはヨーロッパの研究者との間には文化的および言語的障壁がありました」と彼は述べ、同社は「中国、日本、韓国の研究者からの提出の増加を見ている。特に、これらの研究者はしばしば西洋ではあまり一般的に使用されていない製品に焦点を当て、異なる地域やエコシステムへの洞察を提供している」と述べた。
LinuxカーネルCNAは、NVDデータベースで報告された5,679件の問題で、CVEで特定された脆弱性の3番目に大きい量を持っていた。2024年2月にCNAとなって以来、Linuxカーネルチームは、CVE識別子を発行する際に非常に保守的なアプローチを取り、基本的にすべてのカーネルバグを潜在的な脆弱性としてマークし、しばしばセキュリティへの影響の分析を遅らせている。
「CVE割り当てチームは過度に慎重であり、特定したバグ修正にCVE番号を割り当てます」、なぜならカーネルのバグはすべてカーネルのセキュリティを危険にさらす可能性があるからであると、チームはKernel.orgの説明文で述べた。「これは、Linuxカーネルチームによって発行されるCVEの一見大量の数を説明しています。」
異なる分析、異なる数字
全体として、有効なCVEの正確な数は、分析とデータのクリーニング方法、および数字が公開される時期に依存する。Gamblinは1月1日に公開されたレビューで48,185を発見した。NVDは本稿執筆時点で48,173を示している。そして著者の分析は、拒否されたおよび予約されたCVEを削除し、1月5日に48,177をカウントした。
同じソフトウェアのバリアントに影響を与える異なるCVE識別子を削除するために重要な重複排除を行う脅威インテリジェンス企業Flashpointは、2025年に公開された最低数の問題を文書化した — 44,146 — 2024年の38,941から増加した。より多くの企業が脆弱性を発見するために自動化を使用し、初心者の脆弱性研究者が大規模言語モデル(LLM)を使用してコードをレビュー — 「CVEファーミング」と呼ばれる — しているため、多くの脆弱性は本質的に重複していると、Flashpointの脆弱性専門家であるBrian Martinは言う。
「私たちは同じものを探しています。[ある開発者]が1つのソフトウェアを書き、それをクローンし、いくつかのことを変更し、それを10回行ったところです」と彼は言う。「それは、それらをファーミングしている人にとっては10個のCVEになりますが、私たちにとっては、10個のCVEが添付された1つのVulnDBエントリです。」
しかし、どのようにカウントしても、将来はCVEレコードの継続的な増加を保持する可能性が高いと、CVEプログラムに関与するMITREのサイバーセキュリティエンジニアであるAlec Summersは言う。他の人々と同様に、彼はより多くのCVEがより多くのリスクを意味するわけではないことを強調する。
「脆弱性は悪いですが、CVEは悪くありません」とSummersは言う。「CVEカウントの成長は、必ずしもソフトウェアがますます安全でなくなっていることを意味するわけではありません。それは、プログラムの連邦モデルで可能になった、そこにある脆弱性を特定するための開示、調整、およびグローバルな参加の増加を反映しています。」
全体として、脆弱性にCVE識別子を割り当てる組織の数は、10年以上前のわずかな数から今日では約500のCNAに成長し、公開された脆弱性のカバレッジを増やしたが、情報の大量の処理における課題も増やしたと、MITREのSummersは言う。
「これまで以上に多くのソフトウェアが開発されており、デジタルエコシステムはより複雑で、相互接続され、共有コンポーネントに大きく依存しているため、脆弱性はより頻繁に発生し、より広範な下流への影響を与える可能性があります」と彼は述べ、エコシステムが対応していると付け加えた。「CNAコミュニティが成長し続けるにつれて、CVEプログラムは、データ品質の改善、インフラストラクチャの近代化、国際的パートナーシップの拡大、透明性とコミュニケーションを優先する新しい時代を始めています。」
あなたのソフトウェアを知る
リスクの別のシグナルも横ばいになっているように見える。既知の悪用された脆弱性(KEV)カタログを通じて報告された脆弱性の数は、脆弱性にCVEが割り当てられた年に関して横ばいになっている。(KEVカタログは5歳にすぎないため、その最初の2年間 — 2021年と2022年 — は、ソースが古い脆弱性の悪用を報告したため、追加の急増を見た。)
しかし、特定の既知の悪用された脆弱性は他のものよりもはるかに深刻であるため、そのシグナルも混乱していると、FlashpointのMartinは言う。KEVの数は、それらを使用する脅威アクターほど重要ではないと彼は説明する。
「これらのKEVの一部は、おそらくどのビジネスにとっても懸念事項にはならないでしょう。なぜなら、それは趣味のソフトウェアまたはDiscordプラグインにあるかもしれないからです」と彼は言う。「それはすべて、私たちが始めたことに戻ります。それは:組織が実行するソフトウェアを知っているかどうかです。」
企業は、エンタープライズ運用で使用されるソフトウェア資産とソフトウェア開発チームによって使用されるソフトウェア資産の両方の適切な会計を維持することに最初に焦点を当てるべきであると、専門家は言う。企業が使用するソフトウェアの知識を使用して、そのセキュリティチームは脆弱性の優先順位をよりよく付け、ソフトウェアをより回復力のあるものにすることができると、サイバーセキュリティコンサルタント会社であるNCC Groupのセキュリティおよびエクスプロイト研究者であるAlex Plaskettは言う。
「企業は脆弱性のクラス全体を軽減することに焦点を当てるべきです」と彼は言う。「たとえば、安全なライブラリを使用し、以前にテストされたコンポーネントを使用し、メモリセーフ言語に移行すること — 基本的に優れたセキュリティエンジニアリングの実践です。攻撃面の削減のようなポリシーは大きな勝利になる可能性があります。」
全体として、脆弱性レポートを充実させることができるすべての潜在的なデータを含むCVEエコシステムは、重大な課題を抱え続けているが、全体的なコミュニティは引き続き強力であると、データアナリストのGamblinは言う。
「企業は、研究者と協力して、CVEまで完全にプッシュすることが上手になっています」と彼は言う。「成長は、ほとんどの人が心配すべきものよりも、健全なCVE環境の指標であると思います。」
