2026年前半の脆弱性件数は前年比で 46% 増:FIRST が示すデータと AI がもたらす変革とは?

Report: CVE Disclosures Are 46% Higher Than Projected in First Half of 2026

2026/06/22 SecurityBoulevard — インシデント対応の非営利団体である Forum of Incident Response and Security Teams (FIRST) が公開したレポートによると、2026 年前半に開示された Common Vulnerabilities and Exposures (CVE) の件数は、当初の予測を 46% 上回るペースで増加している。現時点で FIRST は、2026年に開示される CVE の件数が約 66,000 件に達すると予測している。この数値は、2 月時点で予測されていた 59,427 件から増加している。


FIRST の脆弱性予測チームのリード・メンバーである Éireann Leverett は、CVE 発見件数の増加に AI が及ぼす影響について断言できないが、有力な要因である可能性が高いと述べている。たとえば Mozilla CVE Numbering Authority (CNA) は、Firefox エンジンに対して実行された AI 支援ツールに起因する CVE 開示が、2026年 Q1 に 164% 急増したと報告している。

ただし、ほかにも要因はある。GitHub Security Advisory (GHSA) における件数は前年同期比で 449% 増加しており、VulnCheck CVE Numbering Authority (CNA) における未割り当て脆弱性に関するバックログの総数は 3,119% 増加している。

FIRST のレポートが指摘するのは、積極的に悪用されている脆弱性、または、信頼できる形で悪用可能と判断される脆弱性が、同じ割合では増加していないという点である。

その一方で、CVE が発見されてから、エクスプロイトをリバース・エンジニアリングするまでに要する時間は、AI 時代のサイバー犯罪者により、数週間ではなく数時間単位に短縮されている。

このレポートの共同執筆者であり、FIRST EPSS SIG のメンバーでもある Jerry Gamblin は、すべての報告済み CVE が同じ深刻度を持つわけではないことを、サイバーセキュリティ・チームは念頭に置くべきだと述べている。AI ツールが生成する低品質のコンテンツが、人間が発見する脆弱性に似ていても、常に関連性があるとは限らないと、彼は指摘している。

また、研究者たちが最悪のシナリオを想定し、CVE の深刻度評価を過度に引き上げる傾向も依然として存在する。それにより生じるのは、サイバーセキュリティおよび IT チームが、CVE を調査するために時間とリソースを割り当てざるを得ないという問題である。

その一方で、アプリケーションに対する 1 回のアップデートに、多数の CVE に対する修正を取り込むことも可能である。そのため、個々の脆弱性を修正するたびに単一のパッチを適用するよりも、多くの問題を容易に修復できる。

全般として、開示される CVE の数が指数関数的に増加し続ける中、FIRST がサイバーセキュリティおよび IT チームに対して助言するのは、デプロイされるソフトウェアの量が増加し続けていることを踏まえ、期待値と予算に関する議論を再構成することだ。

このレポートが予測するのは、2026年のソフトウェア・パッチ適用の作業規模が倍増するという点だ。

すべての脆弱性に対して、数カ月をかけて手動でテストと検証を実施するという方式は、もはや現実的ではない。修復を可能な限り自動化するための AI ツールに、組織は今すぐ投資すべきだと、Jerry Gamblin は指摘している。

どのようなアプローチを採用するにしても、AI 時代において必要となるのは、アプリケーション・セキュリティを維持する方法の根本的な変革である。

現時点で取り組むべきことは、新しい AI モデルがリリースされるたびに、脆弱性の発見能力が大幅に高められるという状況に対して、どれほど迅速に適応できるかという点に集約される。

開発環境の変化やデータ分析の精度向上により、公開される脆弱性の報告数が想定以上のスピードで急増しています。この現象の背景には、自動化ツールの普及に伴う低品質な報告の増加や過剰な深刻度評価もありますが、AI の影響も否定できません。その結果として、確認作業に追われる運用の現場ではリソース不足が懸念されます。これからの対策としては、手動での検証には限界があるため、運用の自動化を支援する仕組みを積極的に取り入れ、変化へ柔軟に適応できる体制を整えるべきだと、FIRST は指摘しています。