Cogent: AI Exploit Developer Threats Outpace Scanner Detection On Critical Vulnerabilities
2026/05/27 SecurityBoulevard — 一般的にみて、サイバーセキュリティ企業は、市場調査に強い関心を持つことで知られている。それらの企業が提供する分析レポートは、「ほら見ろ、言った通りだ」というメッセージング手段として利用される。それにより、新たな脆弱性が発生している領域をエンタープライズ技術コミュニティへ通知すると同時に、自社の保護プラットフォーム/ツールセットの有効性を裏付けようとする。
それらの市場分析は、どの程度信頼できるのかを、AI ネイティブなエンタープライズ・セキュリティ企業 Cogent の最新調査を通じ、慎重に内容を見ていく必要がある。
エクスプロイト開発の加速
Cogent の新レポート「62% of Critical Vulnerabilities Have Exploits Circulating Before Scanners Can Detect Them」が示唆するのは、スキャナー・ベースの検知速度を上回るペースで、エクスプロイト開発が加速している状況である。現実に 69,159 件の CVE を分析した結果として判明したのは、AI が支援するエクスプロイト開発により、脆弱性の公開から実用的なエクスプロイト出現までの平均期間が、2025年1月時点の 125.3日から、2026年4月の 0.5日へと大幅に短縮されたことだ。
この劇的な変化を受けて、Cogent Security の CEO 共同創業者である Vineet Edupuganti は、「新たな CVE に対して、セキュリティチームが数日から数週間の対応猶予を持てるという前提は、もはや成立しない」と指摘している。
AI エクスプロイト開発者の増加
Vineet Edupuganti は、「今回の調査結果は、エクスプロイトの出現速度と従来型の検知システムの応答速度との間に “構造的なミスマッチ” が存在することを示している。実際に 2025年1月から 2026年4月までのデータを分析すると、その傾向は明確である。現在、エクスプロイト開発者の多くが AI ツールを悪用し、エンタープライズが依存する検知インフラと比べて、常に迅速に対処している。これまでのスキャナーは、人間の速度で動く脅威環境を前提として設計されたが、その環境は既に存在しない。」と述べている。
Cogent の主要な統計によると、既知のエクスプロイトが存在する深刻な脆弱性の 62.0% は、スキャナが検知シグネチャを展開する前に、実用的なエクスプロイトの悪用が可能な状態となっていた。
- 深刻な脆弱性の 83% 以上が、可視性のギャップを生み出している。
- 深刻な CVE の55.7%は、スキャナーによる検出が全く行われていない。
- 検出された 44.3% のうちの 62.0% は、スキャナーによる検出が可能になる前にエクスプロイトが出回った。
- 全体として、深刻な脆弱性の 83.2% は、スキャナーによる検出が全く行われていないか、検出機能がリリースされる前にエクスプロイトが出回っていた。
また、すべての CVE の半数以上が、主要スキャナから不可視の状態となっており、2025年1月以降に公開された CVE の 54.0% は、Tenable/Qualys/Rapid7 のいずれからも、検知シグネチャが提供されていなかった。
エクスプロイト開発タイムラインの加速要因は、AI 支援型エクスプロイト開発にあると、このレポートは説明している。LLM ベースのツールは、パッチ差分 (diff) を取り込み、関連コード変更を特定し、数週間ではなく数時間で PoC エクスプロイト・コードを生成できる。ここでいうパッチ差分とは、通常 diff ユーティリティにより生成される、変更前と変更後の 2 つのソースコード・バージョンの間の差分を示すテキスト・ファイルを指す。
このレポートは、大規模な資産インベントリ全体での検知確認と修復検証において、脆弱性スキャナは依然として重要であると指摘している。しかし、セキュリティ・チームが最も懸念する深刻な脆弱性について、最もリスクが高い期間が始まった後に、スキャナ・カバレッジが提供されるケースが多いという点に、大きな問題がある。
ユーザーの見解
Cogent によると、このリスクは、ユーザーにより認識されているが、それを定量化することは困難であるという。事実のところ、中核となる検知基盤がほとんど変化していない一方で、エクスプロイト出現時間がリアルタイムで短縮されている状況を、彼らは目の当たりにしている。
前述のとおり、深刻な脆弱性の 83% 以上がスキャナー・カバレッジを欠いている。言い換えるなら、検知前にエクスプロイトが流通している。このようなデータがユーザー組織に対して強く示すのは、スキャナを待つのではなく、公開直後に露出箇所を特定する必要性である。
ゼロデイ対応と自動修復
こうした現状を踏まえて、2026年5月に Cogent が発表したのは、脆弱性の公開から修復確認までの時間短縮を目的とする、2 つの新たな機能である。
Zero Day Response は、スキャナー・シグネチャを待つことなく、公開から数分以内に露出箇所を特定し、また Autonomous Remediation は、適切な修復方法を決定する。それらにより、実行前にビジネスへの影響が評価され、脆弱性が実際に解消されたことが確認される。
これらの機能が提供された背景には、AI 支援型エクスプロイト開発により攻撃者側の速度が大幅に加速し、多くのセキュリティ・プログラムが追従できないという状況がある。
Cogent の CEO Vineet Edupuganti は「脆弱性管理の前提は変化した。新たな CVE が数時間で武器化される現在、4日間の検知サイクルと 60日間の修復サイクルでは、2 年前と異なるリスクを引き起こすことになる。セキュリティチーム における脆弱性の管理が、100 倍のスピードで進むようにするために、これらの機能を構築した。AI を悪用する攻撃者の速度に対抗するためには、この機能が必要不可欠である」と述べている。
Zero Day Response は、複数の情報源からインテリジェンスを取得し、新たな公開情報を顧客のソフトウェア・インベントリと照合することで、影響箇所を迅速に特定する。対象範囲には、正式な CVE アドバイザリだけでなく、pre-CVE 公開も含まれる。
そのため、正式な CVE が発行される前に、研究者が GitHub 上で PoC を公開した場合であっても、Cogent の AI エージェントが自動的にシグナルを検知し、優先順位付けとトリアージを実施する。その上で、抽象的な深刻度ではなく実環境ベースで、すべての検出結果がスコアリングされる。
事前に実施される影響への評価
Autonomous Remediation は、各脆弱性に対する最速の解決策として、パッチ適用/アップグレード/コンフィグ変更などを決定した上で、実行前に事前の影響評価を行い、停止リスク/再起動要件/ビジネス影響を分析する。
なお、AI に付与される自律性は、ユーザー・ポリシーとして制御可能である。したがって、重要な本番環境では完全な人的承認/中リスク環境では半自動運用/低リスク環境では完全自動実行を選択できるが、いずれの場合においても、修復処理は独立した確認プロセスが完了するまで未完了とみなされる。
総括
AI セキュリティ企業という Cogent の立場上、AI 駆動型エクスプロイトに関する脅威を強調する傾向が存在する。しかし、CVE 公開から武器化された PoC 出現までの期間が、AI により極端に短縮された点は重要な事実である。それにより、セキュリティ分野に関わるすべての開発者は、マシン速度で動作する攻撃者と対峙している状況にあり、決して安心して眠れる状況にはない。
脆弱性 (CVE) が公開されてから、攻撃コードが作られるまでの時間が劇的に短くなっている現状が示されています。この問題の原因は、攻撃者側が LLM などの AI ツールを悪用し始めたことにあります。これにより、従来のパッチ差分 (diff) の解析や PoC の生成が、人間の手を通さずにマシン速度で自動化されるようになりました。その一方で、守る側の脆弱性スキャナーは、人間が動く速度を前提に設計されているため、検知シグネチャの提供が追いつかないという “構造的ミスマッチ” が起きています。防御基盤の仕組みが変わらない中で、攻撃側だけが加速していることが、現在の深刻なリスクを生み出している原因です。
IoT OT Security News 
You must be logged in to post a comment.