エネコム、InfinidatのInfiniBox導入でエンタープライズストレージインフラを強化
Viettel Cyber Security、SharePointのゼロデイ攻撃とSOC防衛戦略に関するウェビナーを開催
脆弱性管理クラウド「yamory」が2025年セキュリティレポートを公開、マリシャスパッケージが2年で約4倍に急増
公開日:
見出し
NVD登録件数の減少と「見えないリスク」の増大
米国国立標準技術研究所(NIST)が運営するNVDで公開されている脆弱性数(CVE)は、2025年(11月末時点)に減少傾向を示しました。しかし、これはリスクが減少したことを意味するものではありません。米国政府機関の予算や体制の問題により、脆弱性の登録作業に大幅な遅延が発生しており、報告されているにもかかわらず公開されていない脆弱性が大量に滞留している状況です。特に、脆弱性対策に不可欠な製品情報(CPE)などのメタデータ付与が追いついておらず、検知漏れのリスクが高まっています。
yamoryでは、独自に構築した脆弱性データベースと、危険度レベルを自動で算出し対応優先度を判断するオートトリアージ機能(特許番号:6678798号)を提供しています。この機能により、NVDで公開されている「High」「Critical」の脆弱性14,411件(CVE-2025)から、即日対応が必要とされる「Immediate」に分類される2,370件へと絞り込むことができました。また、CISA KEVカタログに掲載され、既に悪用が観測されている脆弱性は135件でした。
すべての脆弱性に対応することは困難であるため、CISA KEVやPoCなどの脅威情報を組み合わせることで、実際にリスクの高い脆弱性に絞り込み、優先順位をつけて対応を進めることが重要です。
CISA KEVカタログに関する詳細は、以下のリンクで確認できます。
ソフトウェアサプライチェーン攻撃の脅威
マリシャスパッケージの急増:2年で約4倍に
yamoryの独自データベースによると、悪意あるパッケージ(マリシャスパッケージ)の検知数は過去最多の6,849件を記録しました。これは2年間で約4倍に増加しており、そのほとんどがWeb開発に不可欠なnpm(Node.js)エコシステムを標的としています。
攻撃の手口も質的に変化しており、2025年には「Shai-Hulud(シャイ=フルード)」ワームのように、感染したシステムを足がかりにGitHub Issueの作成などを通じて自動的に拡散・自己増殖を試みる「連鎖型」の攻撃が確認されています。
大企業を狙うランサムウェア攻撃の実態
2025年は、国内の著名な大企業や組織において、ランサムウェアによるシステム障害や業務停止が相次いだ一年でした。特に、ランサムウェアの主な感染経路としてVPN機器などからの侵入が多くを占め、VPN機器が組織ネットワークへの主要な入り口として狙われやすい状況にあります。
従業員数1,000名以上の大手企業を対象とした調査では、48.3%がVPN機器のバージョン情報を正確に把握しておらず、63.3%が脆弱性発覚時に該当機器を即時に特定できないという結果が出ています。高度な攻撃手法が注目されがちですが、被害の実態は「既知の脆弱性の放置」にあることが浮き彫りになっています。まずは「資産の完全把握」と「即時パッチ適用」といった基本的な対策の徹底が不可欠です。
yamory プロダクトオーナー 鈴木 康弘氏のコメント
yamory プロダクトオーナーの鈴木 康弘氏は、2025年を「NVDの登録遅延などにより、信頼してきた公的な情報基盤が揺らいだ年」と振り返っています。そして、「情報の完全性」を待つのではなく、「今、守るべきものは何か」を見極める力が求められていると指摘しました。不確実な情報環境下でも、KEV(悪用確認済み脆弱性)などの脅威情報や自社の資産管理を徹底することで、リスクの高い箇所を特定し対処することは可能であると述べています。また、昨今のランサムウェア被害は、高度な技術以前に、資産管理やパッチ適用といった「当たり前の対策」の徹底がいかに重要であるかを浮き彫りにしたともコメントしています。2026年は、AIによる攻撃と防御の発展が予測される一方で、足元を固める原点回帰の対策こそが組織を守る鍵となると考えており、サプライチェーン全体のITシステム、ソフトウェアの「資産管理」「リスク管理」というセキュリティの基礎を改めて見直すことが重要であると強調しています。yamoryは、今後もサービスの改善を通じてセキュリティ対策を支援していく方針です。
2025年セキュリティレポート概要
本レポートは、以下の情報をもとに作成されています(対象期間:2020年1月1日~2025年11月30日)。
-
National Vulnerability Database(NVD)
-
yamory 脆弱性データベース
-
yamory の脆弱性スキャンによって検知された脆弱性の統計情報
解説ウェビナー開催
2025年セキュリティレポートの内容を深掘りし、2026年に向けて企業が取るべき対策を解説するオンラインセミナーが開催されます。本セミナーでは、NVD機能不全や急増するサプライチェーン攻撃など激動の1年を総括し、今後の動向が伝えられます。あわせて、独自のデータベースとオートトリアージ機能により「対応すべき脆弱性」を即座に特定・管理できる脆弱性管理クラウド「yamory」を活用した具体的な解決策についても解説されます。セキュリティのトレンドや2026年に実施すべき対策を知りたい方、ソフトウェアサプライチェーンセキュリティに興味がある方はぜひご参加ください。
セミナー概要
-
内容: 2025年セキュリティレポートの解説、脆弱性管理クラウドyamoryのご紹介、Q&A
-
日時: 2025年1月14日(水) 13:00〜14:00
-
配信方法: Zoom(フォームより登録されたメールアドレス宛に、案内が送付されます)
-
参加費: 無料
脆弱性管理クラウド「yamory(ヤモリー)」について
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策を支援するクラウドサービスです。クラウドからオンプレミス環境までの脆弱性管理と、ソフトウェア部品表(SBOM)への対応をオールインワンで実現します。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、世界標準の対策を誰もが実施できるセキュリティの羅針盤を目指しています。
株式会社アシュアードについて
株式会社アシュアードは、「信頼で、未知を拓く。」をミッションに掲げ、企業のセキュリティ対策を支援するサービスを提供しています。Visionalグループの一員としてサイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory」のほか、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開しています。インターネットですべてが繋がる社会において、信頼から新たな繋がりを創造し、社会に新しい可能性を生み出すことを目指しています。
Visionalについて
Visionalは、「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進する多様な事業を展開しています。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指しています。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げています。
関連記事
カテゴリ:企業動向
タグ:
関連記事
人気記事
