159 CVEs Exploited in Q1 2025 — 28.3% Within 24 Hours of Disclosure
2025/04/24 TheHackerNews — 2025 Q1 において、実環境で悪用された CVE は 159件にのぼり、2024 Q4 の 151件から増加していることが明らかになった。セキュリティ企業 VulnCheck は、「脆弱性の情報が公開されてから、悪用されるまでの時間の短縮という傾向が続いており、CVE 公開から 1 日以内に悪用された脆弱性は、28.3% に達している」と、The Hacker News に共有したレポートで述べている。
つまり、2025 Q1 において実環境で悪用された CVE の 159件のうち、公開から 1 日以内に実環境で悪用されたものは 45件に上ることを意味する。さらに、14件の脆弱性が公開から1ヶ月以内に悪用され、45件が1年以内に悪用されている。
また、同社によると、悪用された脆弱性の大部分が CMS (content management systems) のものだという。それに続くのが、ネットワーク・エッジデバイス/オペレーティング・システム/オープンソース・ソフトウェア/サーバ・ソフトウェアなどであるという。
内訳は以下の通りだ:
- コンテンツ管理システム (CMS) :35件
- ネットワーク・エッジデバイス:29件
- オペレーティング・システム (OS):24件
- オープンソース・ソフトウェア (OSS) :14件
- サーバー・ソフトウェア:14件
また、調査対象の期間中に悪用された主なベンダーおよび製品には以下が含まれる:
- Microsoft Windows:15件
- Broadcom VMware:6件
- Cyber PowerPanel:5件
- Litespeed Technologies:4件
- TOTOLINK ルーター:4件
VulnCheck は、「平均して毎週 11.4件、毎月 53件の KEV (Known Exploited Vulnerabilities) が公開されている。CISA KEV は、2025 Q1 に 80件の脆弱性を追加したが、そのうち 12件は事前に悪用事例が公開されていなかった」と指摘する。
さらに、2025年 Q1 の 159件の脆弱性の 25.8%は、NIST の脆弱性データベース (NVD:National Vulnerability Database) で分析中または分析待ちとされており、3.1%には保留 (Deferred) という新たなステータスが付与されている。
先日に Verizon が新たに公開した、2025年版のデータ侵害調査レポート (DBIR:Data Breach Investigations Report) によると、データ侵害における初期侵入手段としての脆弱性の悪用が前年比で 34% も増加し、全侵入の 20% を占めているという。
その一方で、Google 傘下の Mandiant が収集したデータによると、最も多く観測された初期感染経路として、脆弱性の悪用が5年連続で Top だったことも明らかになっている。その他には、盗まれた認証情報の悪用が、フィッシングを上回って2番目に多い手口となっている。
Mandiant は、「初期感染ベクターが特定された侵入のうちの 33%は、脆弱性の悪用から始まっていた。これは、2023年の 38%からは減少しているが、2022年の 32%と、ほぼ同水準である」と述べている。
攻撃者が検出を回避する技術を向上させる一方で、防御側も侵害の特定能力を高めている。攻撃者がシステムに侵入してから検出されるまでの日数を示す、滞留時間の世界的な平均は、2023 年から 1 日増加して 11 日となっている。
さまざまなところから、2025年 Q1 の侵害レポートが提供されています。このブログでも、昨日に Verizon の 2025年版 DBIR を紹介していますので、ご参照ください。また、文中でも引用されている Mandiant のデータですが、スパイウェアの追跡がメインの場合には、脆弱性の悪用の比率が高くなるのですね。よろしければ、カテゴリ Statistics も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.