脆弱性管理クラウド「yamory」が2025年セキュリティレポートを発表

脆弱性管理クラウド「yamory」が発表した2025年セキュリティレポート

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森厚志）が提供する脆弱性管理クラウド「yamory」が、2025年のセキュリティレポートを公表しました。このレポートは、独自に構築した脆弱性情報データベースに基づいており、最新のセキュリティ脅威の動向を詳しく紹介しています。特に注目すべきは、公的データベースであるNVDの機能不全が影響を及ぼし、「見かけ上の脆弱性数」が減少している現状です。一見、リスクが低下しているように見えますが、実際には水面下でソフトウェアサプライチェーン攻撃が高度化しているのです。

NVD登録件数が減少する一方でのリスク増大

米国の国立標準技術研究所が運営する脆弱性データベース（NVD）は、例年多くの脆弱性を公開しています。しかし、2025年時点での登録件数は減少傾向にあると予測されています。この背景には、予算や体制の問題から遅延が生じており、未公開の脆弱性が大量に存在していることが指摘されています。特に脆弱性対策には必須の製品情報（CPE）のメタデータが不足しており、検知漏れのリスクが高まっています。

yamoryのオートトリアージ機能

「yamory」では、脆弱性の危険度を自動で算出し、即座に対応の優先順位を決定するオートトリアージ機能を提供しています。この機能により、NVDが公開した脆弱性14,411件の中から、即対応が必要とされる脆弱性を2,370件に絞り込みました。また、CISA KEVカタログにおいて既に悪用が確認されている脆弱性も135件にのぼっています。すべての脆弱性に対応することは現実的には不可能であり、CISA KEVやPoCなどの情報を組み合わせて、リスクの高いものに優先順位をつけることが重要です。

ソフトウェアサプライチェーン攻撃の増加

特に注目すべきは、通称マリシャスパッケージと呼ばれる悪意ある攻撃手法が急増している点です。yamoryのデータベースによると、マリシャスパッケージ数は過去最多の6,849件に達しました。これらの攻撃は主にnpmエコシステムを狙っており、2025年には「Shai-Hulud（シャイ・フルード）」ワームのような進化した攻撃パターンが確認されています。この攻撃では、感染したシステムを利用しながら自動的にGitHub Issueを作成するなど、自らを拡散する巧妙な手口が見られました。

ランサムウェアの脅威

2025年には、国内の大手企業や組織がランサムウェアの攻撃に見舞われる事例が相次ぎました。特に、VPN機器を経由した攻撃が急増しています。yamoryの実態調査によると、従業員数1,000名以上の企業では48.3%がVPN機器のバージョンを正確に把握しておらず、63.3%が脆弱性が判明した際に迅速に該当機器を特定できないとの結果が出ています。これらの現象は、高度な攻撃手法に対する警戒が高まる一方で、「既知の脆弱性を放置すること」が実際の問題であることを示しています。最も基本的な対策として、資産の把握と即時のパッチ適用が不可欠です。

yamoryプロダクトオーナーの見解

yamoryのプロダクトオーナーである鈴木康弘氏は、2025年は公的情報基盤の信頼性が揺らいだ年であったと振り返ります。「求められるのは、情報の完全性を待つことではなく、今、どのように守るべきかを見極める力です」と述べ、企業がリスクの高い箇所を特定し対策を講じることが可能であると強調しました。また、サプライチェーン全体のITシステムとソフトウェアの「資産管理」や「リスク管理」が安全対策の基盤であることを再確認する必要があるとしています。

今後の展望とセミナー開催

昨今のサイバー攻撃の現状を踏まえ、yamoryは2026年に向けた対策を見据えた解説ウェビナーを2025年1月14日に開催します。このセミナーでは、2025年セキュリティレポートの内容を詳しく解説し、脅威情報を元にした具体的な戦略を紹介します。また、参加者は自社のセキュリティ対策を強化するための情報を得ることができます。今後もyamoryは、企業のセキュリティ対策を支援し続ける意向を示しています。