AIとサイバー犯罪の産業化により、攻撃者が悪用可能な高度および重大度の既知脆弱性の数を2倍に増やしながら、半分の時間で実行できるようになっています。
脆弱性の開示と悪用の間のギャップが急速に縮小し、セキュリティチームのパッチ適用慣行に警告を与えています。
Rapid7の最新サイバー脅威ランドスケープレポートによると、新たに開示された高度および重大度の脆弱性(CVSS 7-10)の確認された悪用は、2024年の71件から2025年には146件へと105%増加しました。
さらに、脆弱性の公表からCISA既知悪用脆弱性(KEV)リストへの登録までの中央値は8.5日から5.0日に短縮され、平均悪用時間は61.0日から28.5日に短縮されました。Googleの脅威インテリジェンスグループの最近のレポートによると、ゼロデイエクスプロイトは企業をより速く、より強く攻撃しています。
その結果、脅威エコシステムは半分の時間で2倍の高い影響力を持つ欠陥が悪用されています。これはサイバー防御にとって懸念される動向です。
サイバー犯罪の産業化
Rapid7と他の業界オブザーバー(CSOへのインタビュー対象)によると、サイバー犯罪エコシステムの産業化と脆弱性を発見・悪用するためのAIツールの悪用増加が、脆弱性悪用ペースの加速化の主要な要因です。
「初期アクセスブローカーは現在、ランサムウェアグループに直接販売し、新しい脆弱性を兵器化し、認証情報を収集し、アクセスを現金化するための明確なインセンティブを作成しています」と、一般的なMetasploit侵入テストツールを開発したRapid7のシニアプリンシパルリサーチャーであるStephen Fewerは述べています。「これは彼らの操作のペースと洗練さの両方を加速させました。」
攻撃者にとって、ターゲットと関連技術に対する精通は、エクスプロイト開発の課題を大幅に減らすことができます。これは多くのエンタープライズソフトウェアターゲットの繰り返しの悪用を推進している要因です。
AI採用は脆弱性発見と悪用のペース増加のもう一つの重要な要因です。なぜなら、それはソフトウェアバグを発見するプロセスを促進するからです。
「AI[人工知能]は脅威アクターがスキルギャップを埋めることを可能にし、運用スループットを大幅に増加させます」とFewerは言います。「実際には、AIは新たに開示された脆弱性を分析し、高速でエクスプロイトコードを生成する戦術的な利点を提供します。」
N-day悪用
Rapid7 Labsは、AI支援研究を使用してn-dayおよびzero-dayエクスプロイトの両方を製造することで、より激動的な脅威環境についての調査結果を検証し、開発時間を大幅に短縮しました。
実際には、n-dayバグ、またはパッチされたソフトウェアに対するエクスプロイトの開発は、見出しを飾るzero-day脆弱性よりも大きな問題です。これは、サイバー保険とサイバーセキュリティツールを専門とするテクノロジー企業Coalitionのインシデント対応リーダーであるLeeann Nicoloが付け加えています。
「当社のインシデント対応チームは、最近、多くのzero-day脆弱性が悪用されているのを見ていません。代わりに、脅威アクターはすでにパッチのある既知の問題を狙っています」とNicoloは述べています。
他の業界専門家は、Rapid7の調査結果が彼らも現場で見ていることを反映していることを確認しました。
「パッチウィンドウは事実上崩壊しました」と、アプリケーションセキュリティ企業Veracodeの共同創設者兼チーフセキュリティエバンジェリストであるChris Wysopalは述べています。「それは段階的なトレンドではなく、構造的なブレークです。」
悪用ペースの増加の1つの要因は、すべてのパッチが攻撃者のためのロードマップのように機能するということです。Wyspoalはこう述べています。
「修正がリリースされると、攻撃者はパッチを区別し、脆弱なコードパスを分離し、自動化とAIを使用して、企業が修正をテストしてデプロイするより大幅に高速で動作するエクスプロイトパスを生成できます」とWyspoalは述べています。「言い換えると、開示はますますレースを開始し、ディフェンダーはスターティングガンが鳴った時点で既に遅れています。」
さらに、AppSecの負債は、パッチが存在しても露出ウィンドウを拡大します。
「企業は依然として、マシン速度で修復するのに多くのレガシーコード、多くのインターネット向けの依存関係、そして多くの脆弱な変更プロセスを持っています」とWyspoalは述べています。「組織が露出を在庫するのに数日または数週間を必要とし、爆発範囲を評価し、テストし、承認を取得し、デプロイする場合、それはカレンダーで動作しながら、攻撃者は時計で動作しています。」
もう1つの大きな問題は脆弱性悪用の産業化です。
AIはエクスプロイト開発を圧縮し、スキルの障壁を低下させます。一方、サイバー犯罪市場は、研究者、ブローカー、アクセス販売者、ボットネット運営者、ランサムウェアアフィリエイトを組み込んだ、よく油を注された生産ラインを作成することで、摩擦を取り除きます。
「[この]組立ラインモデルは、より多くの脆弱性がほぼ即座に開示から使用可能な攻撃パスに移動することを意味します」とWyspoalによると。
セキュアバイデザインの必要性
これらの課題への本当の対応は、CISOに「パッチをより速く適用する」ことを促す代わりに、本番に到達する悪用可能なソフトウェアの量をそもそも削減することにあるべきです。
セキュアバイデザインエンジニアリング、一流のバグハンターによる積極的なリリース前テスト、バグのクラス全体を縮小する建築的な軽減策、および露出したシステムを迅速に再構築または分離する能力はすべて必要ですが、おそらく不十分です。
開示後にディフェンダーが猶予期間を得るという古い前提は、もはや信じられるものではありません。Wyspoalによると。
「私たちはリアルタイムで従来のパッチウィンドウの崩壊を目撃しています」とWyspoalは強調します。「セキュアバイデザインは唯一の持続可能な対応です。なぜなら、開示が起こると、攻撃者のクロックはすでにティックを刻んでいるからです。」
翻訳元: https://www.csoonline.com/article/4156005/patch-windows-collapse-as-time-to-exploit-accelerates.html
