Google Cloud Securityの2025年のサイバーセキュリティレポート(Cybersecurity Forecast2025)によると、脆弱性が公開されてから悪用されるまでの平均時間は5日ということです。
ゼロデイ悪用件数がNデイ悪用の倍以上に
これは2023年に悪用された脆弱性について2024年に行った分析の結果だということです。Google子会社のマンディアントは今年10月に2023年のエクスプロイトに関する分析レポートを公開しており、Cybersecurity Forecast2025に記載されているエクスプロイト分析はマンディアントの10月のレポートにもとづいているようです。同レポートによると、マンディアントは2023年に公開されて悪用されている138件の脆弱性を分析、うち97件は公開前に悪用されたゼロデイ脆弱性で、残り41件は脆弱性が公開されてパッチが利用可能になった後に悪用されたNデイ脆弱性だということです。ゼロデイがNデイの倍以上の件数となっています。ゼロデイの悪用は年々増加しており、2023年はゼロデイとN デイの件数の差がさらに大きくなったということです。
またエクスプロイトまでの時間(TTE)は、2018年から2019年にかけて平均63日間でしたが、2020年から2021年初めにかけて平均44日となり、さらに2021年から2022年にかけては平均32日、そして2023年はこれまでで最大の短縮となり平均わずか5日間になったということです。2018年から2023年までの間にエクスプロイトの時間は12分の1、ここ数年で6分の1に短縮されたということですから、短縮傾向が加速している状況にあるといえそうです。
Nデイのほとんどはパッチ公開後1カ月以内に悪用
脆弱性の悪用におけるNデイとゼロデイの比率は、2020年から2021年にかけては39対61、2021年から2022年にかけては38対62でしたが、2023年は30対70となりゼロデイの比率がより大きくなったということです。これはNデイの悪用が減ったということではなく、ゼロデイの悪用が増加したためで、その結果、全体の比率としてはNデイの割合が低くなったということです。Nデイが悪用されたケースでは、ほとんどはパッチが公開されて1カ月以内に悪用され、うち12%は1日以内、29%が1週間以内、56%が1カ月以内に悪用されたということです。また、脆弱性が悪用された企業は、Microsoft、Apple、Googleを筆頭に増え続けており、2023年は2021年と比べて17%増加したということです。
マンディアントのレポートからは、ゼロデイ脆弱性を狙い、Nデイ脆弱性をより短時間で悪用しようとする攻撃者の傾向が浮かび上がります。よってパッチなどの対策は公開されたらただちに対応することがサイバーリスクを回避する上で極めて重要です。一方でNデイのリスクが軽減されているのかというと、そういうことでもないようです。マンディアントのレポートは「脅威アクターがNデイを狙うことをやめたわけではありません。私たちは、パッチがリリースされてから数カ月または数年後に、攻撃者が脆弱性をどのように利用するのか何度も見てきました」と最後に指摘しています。
■出典
https://cloud.google.com/blog/topics/threat-intelligence/cybersecurity-forecast-2025?hl=en
https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023?hl=en