Security NEWS TOPに戻る
バックナンバー TOPに戻る
本記事は2025年第1四半期(1~3月)の分析レポート(前回記事)に続く続編となります。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から公開されている「KEVカタログ(Known Exploited Vulnerabilities)」は、実際に攻撃に悪用された脆弱性の権威あるリストとして、組織のセキュリティ対策の優先順位付けに不可欠なツールとなっています。本レポートでは、KEVカタログに2025年4月1日~6月30日に登録・公開された脆弱性をはじめとし、2025年上半期を振り返り、件数の推移や影響を受けたベンダー、脆弱性の種類や深刻度などを分析します。
記事の目的と対象範囲
本記事の目的は、KEVカタログに登録された脆弱性の傾向を把握し、組織が優先すべきセキュリティ対策の方向性を明確にすることです。対象期間は2025年4月1日から6月30日までの3か月間で、この期間に新たに登録された全59件の脆弱性を分析対象としています。
KEVカタログとは何か、1Q分析レポートとの関係
KEVカタログは、既知で悪用が確認された脆弱性をリスト化したものであり、攻撃者が現実に利用している脆弱性のみが掲載されます。1Q記事では、2025年1〜3月の動向を分析し、MicrosoftやAppleをはじめとする主要ベンダー製品のリスクの高さを指摘しました。今回の2Q分析では、その傾向が継続しているか、新たな特徴が現れたかを確認します。
2025年上半期(1月~6月)の登録件数推移
2025年2Qに新規登録された脆弱性は以下の通りです。
- 4月:15件
- 5月:24件
- 6月:20件
2025年1月から6月までの登録件数推移を見ると、1Qは計65件、2Qは計59件とやや減少しました。しかし5月には前月比約60%増加しており、特定ベンダーの脆弱性修正公開が影響していると考えられます。過去の傾向を見ると、四半期内でも特定月に集中して登録されるケースが多く、特に月例アップデートや大規模製品改修の直後に件数が急増する傾向があります。
ベンダー別 登録件数ランキング
2Qで登録件数が多かったベンダーは以下のとおりです。
- Microsoft – 74件
- Apple – 27件
- Adobe – 26件
- Google – 21件
- Linux – 10件
- Oracle / D-Link / Cisco – 各9件
- Samsung / QNAP – 各8件
特にMicrosoftは依然として突出しており、全体の過半数近くを占めています。またApple、Adobe、Googleも上位常連であり、いずれもエンドユーザー利用率が高く、攻撃者にとって魅力的な標的であることがわかります。利用者はこれらベンダーのセキュリティ情報公開を継続的に監視する必要があります。一方で、D-LinkやQNAPなどネットワーク機器・NASベンダーの存在も目立ち、SOHOや中小企業にとっては「社内ネットワークの出入り口」への対策強化が求められます。
脆弱性タイプ別(CWE)分析
登録された脆弱性をCWE(Common Weakness Enumeration)で分類すると、次の傾向が確認されました。
- CWE-416(開放済みメモリの使用) – 26件
- CWE-119 / CWE-787(バッファ境界外アクセス) – 各24件
- CWE-78(OSコマンドインジェクション) – 18件
- CWE-20(入力検証不備) – 17件
- CWE-264(権限・アクセス制御の不備) – 14件
特に「開放済みメモリの使用」や「バッファ境界外アクセス」といったメモリ安全性の欠如は、任意コード実行や権限昇格など重大な影響を引き起こす可能性が高く、依然として頻出しています。また、OSコマンドインジェクションや入力検証不備といった脆弱性も継続して悪用されており、過去に修正されたはずの問題が繰り返し登場していることがわかります。
CVSSスコア基本値分布
- Critical(9.0〜):約55%
- High(7.0〜8.9):約40%
攻撃者はCriticalスコアだけでなく、Highスコアの脆弱性も積極的に悪用しています。
既存の脆弱性の悪用傾向
2QのKEVデータには、直近発見の脆弱性だけでなく、数年前に公表された古い脆弱性も多く含まれています。これらはパッチ未適用や製品サポート終了に伴う放置が原因であり、攻撃者は既知の脆弱性を効率よく悪用しています。特に2010年代半ば〜後半の脆弱性が今もリストに登場しており、「古いから安全」という認識は極めて危険です。資産棚卸しとパッチ適用の徹底が欠かせません。
影響を受けた製品の例
今回の四半期では、以下のような広く利用される製品がKEVに登録されました。
- Microsoft Windows、Office製品群
- Apple iOS / macOS
- Adobe Acrobat / Reader
- Google Chrome / Android
- D-Linkルーター製品
- QNAP NASシリーズ
これらはいずれも多くの組織で利用されており、脆弱性の悪用が確認された場合、組織規模を問わず被害に直結します。
企業が取るべき対応
2025年2Qの傾向から、企業や組織は以下の対応を優先すべきです。
- 主要ベンダーのセキュリティ情報監視 – 特にMicrosoft、Apple、Adobe、Googleは月次更新を追跡
- メモリ安全性対策 – CWE-416やCWE-119に該当する脆弱性のパッチを最優先で適用
- 古い脆弱性の棚卸し – 製品のサポート終了日とパッチ適用状況を定期確認
- ネットワーク機器の更新 – D-LinkやQNAPなどのファームウェア更新を怠らない
- 社内啓発と運用強化 – OSコマンドインジェクションなどの脆弱性対策を強化
まとめ
2025年2QのKEVカタログは、依然として主要ベンダー製品の脆弱性が大きな割合を占め、メモリ安全性の欠如や古典的なインジェクション攻撃が引き続き悪用されていることを示しています。さらに、過去の古い脆弱性が現役で攻撃対象になっている現実は、資産管理とパッチ適用の遅れが依然として大きな課題であることを物語っています。次四半期に向けては、セキュリティ更新の優先順位付けと計画的な運用の強化が求められるでしょう。
BBSecでは
BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。
アタックサーフェス調査サービス
インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」
「【最短7営業日で診断&報告】サイバー保険付帯脆弱性診断「SQAT® with Swift Delivery」のご紹介」
「止まらないサイバー被害、その“対応の遅れ”はなぜ起こる?~サイバー防衛の未来を拓く次世代XDR:大規模組織のセキュリティ運用を最適化する戦略的アプローチ~」
最新情報はこちら
