CISA Expands KEV Catalog with 1,484 New Vulnerabilities as Active Exploitation Surges 20% in 2025
2026/01/06 CyberSecurityNews — 2025年12月時点で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログを、1,484 件まで拡大した。それは、現在も実運用で悪用されている脆弱性に対抗するための、連邦政府における取り組みの重要な節目である。このデータベースは、2021年11月に 311 件の脆弱性から始まったが、これまでの4年間で大幅に拡張されており、公共/民間の両部門が直面する脅威環境の高度化を反映している。
2025年には KEV カタログの成長が加速し、年間で 245 件の新たな脆弱性が追加された。これは前年比で約 20% の増加であり、2023年および 2024年の増加率を 30% 以上も上回った。この動向が示すのは、多様なソフトウェア/ハードウェアに存在する既知の欠陥を、脅威アクターが継続的に悪用している現実である。
KEV カタログは、CISA の拘束的運用指令 BOD 22-01 に基づき、列挙された脆弱性を所定の期限内に是正することを、連邦民生行政機関 (FCEB:Federal Civilian Executive Branch) に義務付ける基盤リソースとして機能している。
KEV カタログの位置付け
従来の CVSS による理論的な深刻度による評価とは異なり、KEV カタログは実際に悪用が確認された脆弱性に焦点を当てるという点で、脆弱性管理のパラダイムシフトを体現している。
それぞれの脆弱性エントリには、CVE識別子/ベンダー名/脆弱性名/追加日/概要/必要な是正措置/連邦機関に課せられる修正期限が含まれる。
2021年以降に CVE が付与された脆弱性はカタログへの追加後2週間以内で、2021年以前の脆弱性は6ヶ月以内に修正することが、BOD 22-01 により求められている。
これらの義務は連邦機関に限定されるが、CISA は民間組織に対しても、KEV を優先順位付けの指標として活用することを強く推奨している。
ランサムウェアとの関係
2025年の KEV 分析において最も深刻な知見の一つは、1,484 件中 304 件 (20.5%) がランサムウェア攻撃で悪用されている点である。2025年だけでも、ランサムウェアによる悪用が確認された脆弱性が新たに 24 件追加された。
| CVE ID | Vendor | Product | Vulnerability Type |
|---|---|---|---|
| CVE-2025-55182 | Meta | React Server Components | Meta React Server Components Remote Code Execution Vulnerability |
| CVE-2025-61884 | Oracle | E-Business Suite | Oracle E-Business Suite Server-Side Request Forgery (SSRF) Vulnerability |
| CVE-2025-61882 | Oracle | E-Business Suite | Oracle E-Business Suite Unspecified Vulnerability |
| CVE-2025-10035 | Fortra | GoAnywhere MFT | Fortra GoAnywhere MFT Deserialization of Untrusted Data Vulnerability |
| CVE-2025-49704 | Microsoft | SharePoint | Microsoft SharePoint Code Injection Vulnerability |
| CVE-2025-49706 | Microsoft | SharePoint | Microsoft SharePoint Improper Authentication Vulnerability |
| CVE-2025-53770 | Microsoft | SharePoint | Microsoft SharePoint Deserialization of Untrusted Data Vulnerability |
| CVE-2025-5777 | Citrix | NetScaler ADC and Gateway | Citrix NetScaler ADC and Gateway Out-of-Bounds Read Vulnerability |
| CVE-2019-6693 | Fortinet | FortiOS | Fortinet FortiOS Use of Hard-Coded Credentials Vulnerability |
| CVE-2025-31324 | SAP | NetWeaver | SAP NetWeaver Unrestricted File Upload Vulnerability |
そこに含まれるものには、Citrix NetScaler ADC/Gateway に影響を及ぼす CVE-2025-5777 (CitrixBleed 2) や、CL0P が悪用した Oracle E-Business Suite の複数の脆弱性などがある。
ランサムウェアに関連する脆弱性は、Microsoft が 100件で最多であり、それに続くのが Fortinet/Ivanti/Oracle となる。それが示すのは、広範に導入されているエンタープライズ製品が、依然として主要な攻撃対象であることだ。
ベンダーおよび製品の分布
KEVカタログにおけるベンダー別分布では、Microsoft が 350 件でトップであり、全体の約 24% を占めている。この数値が反映するのは、OS/生産性ツール/エンタープライズ・アプリケーションにおける同社の圧倒的な普及率である。それに続いて、Apple/Cisco/Adobe/Google が上位に位置する。
| Vendor | Total Vulnerabilities |
|---|---|
| Microsoft | 350 |
| Apple | 86 |
| Cisco | 82 |
| Adobe | 76 |
| 67 | |
| Oracle | 42 |
| Apache | 38 |
| Ivanti | 30 |
| VMware | 26 |
| D-Link | 25 |
Microsoft Windows 単体でも 159 件の脆弱性が登録されたが、Chromium V8/Internet Explorer/Flash Player/Microsoft Office 製品群なども頻繁に悪用されている。
その一方で、2025年には Adobe/Android/Apache/Ivanti/Palo Alto Networks/VMware などの件数が減少しており、セキュリティ体制の改善が示唆される。ただし、Microsoft は 2024年の36 件から、2025年の 39 件へと増加しており、引き続き修正負荷の高いベンダーである。
CWE 別傾向
KEV に含まれる脆弱性タイプでは、CWE-20 (不適切な入力検証) が 113 件で最多だった。これが反映するのは、入力の検証やサニタイズが不十分であるという、セキュア・コーディング上の根本的な課題である。
それに続くのは、CWE-78 (OSコマンド・インジェクション) の 97 件/CWE-787 (境界外書き込み) の96件/CWE-416 (解放後使用) の 86件である。これらのメモリ破損系の脆弱性は、C/C++ で実装されたソフトウェアに集中しており、依然として高い悪用価値を持つ。
CWE-502 (信頼できないデータのデシリアライズ) も 58 件確認されており、信頼境界を越えたデータ処理の危険性を示している。
| CWE | Count | Description |
|---|---|---|
| CWE-20 | 113 | Improper Input Validation |
| CWE-78 | 97 | OS Command Injection |
| CWE-787 | 96 | Out-of-bounds Write |
| CWE-416 | 86 | Use After Free |
| CWE-119 | 80 | Improper Restriction of Operations within Memory Bounds |
| CWE-22 | 68 | Path Traversal |
| CWE-502 | 58 | Deserialization of Untrusted Data |
| CWE-94 | 53 | Code Injection |
| CWE-843 | 36 | Access of Resource Using Incompatible Type |
| CWE-287 | 31 | Improper Authentication |
KEV カタログの成長推移
KEV カタログの成長軌道は、進化する脅威情勢と CISA のインテリジェンス能力の拡大という重要な示唆を与える。
2021年11月に 311件の脆弱性を収録して公開された KEV は、2022年に 555 件が追加され、約 78% という爆発的な増加を示した。この急増は、悪用されていた既知の脆弱性のバックログ解消と、CISA によるインテリジェンス収集活動の強化を反映した結果だと考えられる。
その後の 2023年と 2024年には、それぞれ 187 件と 186 件の脆弱性が追加され、成長は安定期に入った。このペースは、年間で約 17~21% の成長率に相当する。
しかし、2025年には 245 件の脆弱性が追加され、再び成長が加速した。これは 20% の増加に相当し、脆弱性の悪用活動の増加と、検出/報告メカニズムの強化が示唆される。
| Year | Vulnerabilities Added | Cumulative Total |
|---|---|---|
| 2021 | 311 | 311 |
| 2022 | 555 | 866 |
| 2023 | 187 | 1,053 |
| 2024 | 186 | 1,239 |
| 2025 | 245 | 1,484 |
2025年における顕著な傾向として、古い脆弱性の増加が挙げられる。2024年以前に公開された脆弱性 94 件が追加されており、2023~2024年の年間平均 65 件と比較して約 45% の増加となる。
2025年に追加された最も古い脆弱性は、Microsoft Office Excel におけるリモートコード実行の脆弱性 CVE-2007-0671 である。その一方で、カタログ全体における最も古いエントリは、Windows NT/Windows 2000 の権限昇格の脆弱性 CVE-2002-0367 であり、現在もランサムウェア・グループにより悪用され続けている。
影響度の高い脆弱性と脅威インテリジェンス
2025年を通じて CISA は、実運用での悪用が確認された多数の深刻な脆弱性を KEV に追加した。特に10月から12月にかけて追加された脆弱性は、影響範囲の広さと攻撃ベクターの多様性を明確に示している。
2025年10月に、CISA は5件の深刻な脆弱性の悪用を確認した。その中に含まれるのは、Oracle E-Business Suite におけるサーバーサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2025-61884 (CVSS:7.5) である。この脆弱性の悪用に成功した攻撃者は、重要データへの不正アクセスが可能となる。この脆弱性は、多くの Fortune 500 企業が利用する ERP システムを標的とする点で、きわめて深刻なものである。
さらに、Microsoft Windows SMB クライアントにおける不適切なアクセス制御の脆弱性 CVE-2025-33073 により、権限昇格が可能となる問題が追加された。また、Kentico CMS における認証バイパスの脆弱性 CVE-2025-2746/CVE-2025-2747 により、管理者権限が完全に奪取される問題も追加された。
2025年9月には、データベース管理ツール/エンタープライズ向けファイル転送システム/ネットワーク OS/コア Unix ユーティリティにまたがる5件の脆弱性が追加された。
Fortra GoAnywhere MFT に影響を及ぼす脆弱性 CVE-2025-10035 は、License Servlet コンポーネントにおける信頼できないデータのデシリアライズの欠陥であり、ランサムウェア攻撃者による積極的な悪用が確認されている。
また、Cisco IOS/IOS XE の SNMP 機能におけるスタックバッファ・オーバーフローの脆弱性 CVE-2025-20352、および、sudo のインクルード処理に起因するローカル権限昇格の脆弱性 CVE-2025-32463 は、ネットワークおよび OS の基盤コンポーネントが依然として主要な攻撃対象であることを示している。
2025年12月には、Meta React Server Components におけるリモートコード実行の脆弱性 CVE-2025-55182 が追加され、ランサムウェア攻撃での悪用が確認された。このような新しいフレームワーク・コンポーネントが短期間で武器化された事実は、脅威アクターの機動力が強化されている状況を如実に表している。
ダークネットフォーラム由来の脅威インテリジェンスは、複数の KEV 追加に対する早期警戒シグナルとして機能した。地下フォーラムを監視していた研究者たちは、CISA の公式勧告に先行する形で、Oracle および SMB 向けペイロードに関連する ClickFix モジュールの議論を確認している。それが裏付けるのは、情報が公開される前から、攻撃者がパッチ未適用環境に対してエクスプロイトを試行していたことである。
KEV カタログの拡大は民間に対しても大きな影響を持つが、連邦機関には BOD 22-01 により厳格な修復期限が課されている。
深刻な脆弱性は検出から15日以内での修正が義務付けられ、高リスク脆弱性は 30日以内の修正が必要とされる。特に KEV に掲載された脆弱性については、2021年以降に付与された CVE は2週間以内に、2021年以前のものは6ヶ月以内の修正が求められる。
前述の通り、CISA の KEV カタログには、現時点で 1,484 件の実際に悪用されている脆弱性が収録されており、理論評価ではなく現実の脅威に基づく優先順位付けを行う上で不可欠なリソースとなっている。
2025年に追加された 245 件は、多様なプラットフォーム上の既知の脆弱性を、ランサムウェア/APT/機会主義的な攻撃者たちが、継続的に武器化している現状を反映している。
特に Microsoft に集中する 100 件のランサムウェア関連脆弱性は、広範に展開されたエンタープライズ・システムに対する迅速なパッチ適用の重要性を強調している。
また、不適切な入力検証/コマンド・インジェクション/メモリ破損といった基本的な脆弱性クラスの蔓延は、セキュアコーディングとメモリセーフ言語の採用拡大という、業界全体における継続的な課題を示している。
連邦政府機関にとって BOD 22-01 への対応は必須であるが、KEV カタログの価値はそれを超え、最も悪用されやすい脆弱性への実践的な指針を、あらゆる組織に対して提供している。
KEV に登録された脆弱性の修復を最優先とし、堅牢なパッチ管理/包括的な資産インベントリ/脅威インテリジェンスによる早期警戒を組み合わせることが、ユーザー組織に対して推奨される。
世界中で報告される膨大な脆弱性の中で、いま実際に攻撃に使われているものをまとめた CISA KEV リストが、1,500 件近くまで増えています。その背景にあるのは、新しい脆弱性が次々と見つかる一方で、数年以上も前の古い欠陥が放置され、攻撃者にとって使い勝手の良い武器として残り続けている現状です。どれほど高度な防御を固めても、入力チェックの不備といった基本的なミスや、システムの更新漏れという小さな隙があるだけで、そこからランサムウェアなどの深刻な被害につながってしまいます。理論上の危険度だけでなく、実際に狙われているかどうかを確認することが、効率的な守りの第一歩になります。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.