768 CVEs Exploited in 2024, Reflecting a 20% Increase from 639 in 2023
2025/02/03 TheHackerNews — 2024年に実環境での悪用が報告された CVE は 768件に上り、2023年の 639件から 20%の増加となった。VulnCheck のレポート “2024 Trends in Vulnerability Exploitation” は、「2024年は、脆弱性の悪用を狙う攻撃者たちにとって、新たに記録的な年となった」と評している。また、2024年には KEV (known exploited vulnerabilities) の脆弱性の 23.6%が、CVE が公開された当日あるいは、それ以前に悪用されていたと、同社は述べている。
この数値は、2023年の 26.8%から僅かに減少しているが、脆弱性のライフサイクルの各ステップにおいて、悪用の試行の可能性があることが示唆される。
VulnCheck の Patrick Garrity は、「2024年中に公表された CVE の1%が、実環境で悪用されていることが報告されている。しかし脆弱性の悪用は、CVE の公表から長い期間が経ってから発見されることが多いため、この数値は、今後において増えていくと予想される」と述べている。
また、2024年11月の時点で VulnCheck は、“Exploring CISA’s 2023 Top Routinely Exploited Vulnerabilities“ を発表し、2023年に多く悪用された脆弱性を報告している。このレポートによると、特定された 60の脅威アクターのうち、中国の 15のグループが、2023年の脆弱性 Top-15 のうちの、少なくとも1つを悪用していたとされる。
Garrity は、「驚くことではないが、Log4j の脆弱性 CVE-2021-44228 は、最も多くの脅威アクターと関連づけられている。特定された 31の脅威アクターが、この脆弱性を悪用していた」と指摘している。VulnCheck は、Log4j の脆弱性 CVE-2021-44228 が放置されている可能性のある、65,245 のホストが検出されたとしている。
全体として、インターネットに接続可能な約 40万のシステムが、15種類の脆弱性を悪用する攻撃の、対象となる可能性があるとされている。それらの脆弱性は、Apache/Atlassian/Barracuda/Citrix/Cisco/Fortinet/Microsoft/Progress/PaperCut/Zoho などの製品に存在するものである。
VulnCheck は、「組織に求められるのは、これらのテクノロジーに関する露出を評価することだ。必要とされるのは、潜在的なリスクの可視性を高め、強力な脅威インテリジェンスを活用し、強力なパッチ管理プラクティスを維持することである、それにより、これらのデバイスのインターネットへの露出を、可能な限り最小限に抑えるなどの、緩和策を実装すべきである」と述べている。
2024年に実環境での悪用が報告された CVE は、2023年の 639件から 20%の増加の 768件となったそうです。CISA KEV の 2023/2024 比較では、CVE 情報の公開前〜直後の悪用率は僅かに減少していますが、それでも、膨大な件数だと推測されます。したがって、最新の脅威情報を把握し、セキュリティ対策を迅速に適用する必要性が高まっています。 よろしければ、カテゴリ Statistics も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.