本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

セキュリティナレッジ

2026.07.09

ランサム攻撃グループはどこを狙うのか ― 実際に悪用された脆弱性1,631件を攻撃局面で分析する ―

1. はじめに

皆様、うだるような暑さが続きますが、いかがお過ごしでしょうか。
サイバーインテリジェンスグループの浦田です。
7月に入って、一気に夏本番の暑さです。こう暑いと、頭も体もオーバーヒートしてしまいますね。
まずは冷たい飲み物でも片手に、肩の力を抜いて読んでいただければと思います。そうです、文字どおりのアイスブレイクですね。

......さて、ぐっと体感気温が下がったところで本題へ。

今回は、米国のサイバーセキュリティ機関CISAが公開する KEV(実際に攻撃で悪用されたことが確認された脆弱性の一覧)に登録された1,631件を中心に、攻撃で使われている脆弱性にはどのような偏りがあるのかを読み解きます。
KEVを題材とした記事は世の中に多く存在しますが、この記事の特徴として、一つひとつの脆弱性を「攻撃のどの局面で使われるか」という切り口で分析しています。
外から侵入する入口なのか、侵入した後に社内で使うものなのか、それとも利用者の操作を起点にするものなのか、この角度で切り分けると、脆弱性のスコアだけを見ていては気づけない偏りが浮かび上がります。
たとえば、KEV全体を攻撃局面で分類したうえでランサムウェア関連だけを取り出すと、外から社内へ侵入するための入口を狙うものが62.8%を占めました。
一方で、ブラウザや文書ファイルなど利用者の操作を起点にするエンドポイントの脆弱性は、KEV全体では23.5%あるのに対して、ランサムウェア関連では7.9%まで下がります。

この記事では、こうした偏りを〈中身〉〈速さ〉〈標的〉という3つの視点から順に説明します。
なお、ここから2章までは、CVE・KEV・CVSSといった脆弱性に関する基礎知識が中心です。
すでにご存じの方は、実際のデータ分析に入る 3章から読み始めていただいて構いません。

よく耳にする「どれから直せばいいのか」問題

現場では脆弱性の情報が次々に流れてきますが、そのすべてに同じ速さで対応するのは現実的ではありません。
人手にも時間にも限りがある以上、どこかで対応の優先順位をつけざるを得ません。
その物差しとして、 CVSSスコア があります。
脆弱性の深刻さを0.0〜10.0の数値で表したもので、9.8だから最優先、5.5だから後回しなどと、直感的に判断できます。
手軽なため、このスコアを優先順位づけの主な基準にしている組織は少なくありません。
ただ実際に悪用される脆弱性には、スコアの数字だけでは見えない偏りがあります。
結果として、スコアが低いからと後回しにしたものが、実は今まさに攻撃に使われている、ということが起こる可能性があります。

そこで手がかりになるのが、米国のサイバーセキュリティ機関CISAが公開している KEV というリストです。
KEVは Known Exploited Vulnerabilities(既知の悪用された脆弱性)の略で、実際に攻撃で悪用されたことが確認された脆弱性だけを集めた一覧です。
世の中に数万件ある脆弱性のうち、現に悪用されたという事実が確認されたものだけが載る、いわば攻撃者に選ばれてしまった脆弱性のリストです。

【用語の整理】

CVE:個々の脆弱性につけられた通し番号(例:CVE-2023-34362)。
CVSS:その脆弱性が「どれくらい深刻か」を0.0〜10.0で表したスコア。
KEV:CVEのうち「実際に悪用されたことが確認された」ものを集めたリスト。

この記事では、KEVに登録された 1,631件(2026年7月初旬時点)を対象に話を進めます。

2. 全体像 ― 深刻度で見ると危険なものばかり、しかし…

最初に、KEVに載っている脆弱性が、CVSSスコア上どれくらい深刻なものなのかを見ます。
ただ、スコアの数値そのものは、思ったほど安定した物差しではありません。
CVSSにはバージョンがあり、このデータでも大多数はバージョン3.1で評価されていますが、一部に新しい4.0などが混じっています。
採点の基準が異なるバージョンが混在しているため、スコアの数値を単純に平均して比べると、実態を見誤ることがあります。
CVSSでは、スコアの高さに応じて4段階の深刻度(CRITICAL / HIGH / MEDIUM / LOW)が割り当てられますので、ここでは個々のスコアの数値そのものではなく、この深刻度の内訳を見てみましょう(図1)。

fig1_severity.png

図1.KEV登録脆弱性の深刻度の内訳

CRITICAL(緊急)とHIGH(重要)を合わせると、全体の約88.5%です。
実際に悪用される脆弱性は、深刻度が高いものが大半という感覚は、誰しも持つものだと思います。
ですので、深刻度の高い脆弱性から対策を打つというやり方は、大枠では間違っていません。
ただ、この全体像には、一つ見落とせない点があります。
MEDIUM(警告)が11.2%、183件もあることです。
中程度なら急がなくていいと考えたくなりますが、実際に悪用されているという点では、これらも同じKEV入りの脆弱性です。
この中程度なのに悪用されているグループの正体については、後ほど解説します。
全体像を把握したところで、以降の章ではKEVを〈中身〉〈速さ〉〈標的〉という3つの視点で見ていきます。

3. 〈中身〉について

スコアの内訳を読むと、狙われる理由が見えてくる

CVSSスコアは、いくつかの要素を組み合わせて算出されています。
ここでは特に重要な4つの要素を、専門用語ではなく普通の言葉に置き換えて紹介します。
•    どこから攻撃できるか:ネットワーク越し(インターネットや社内LAN経由)に攻撃できるか、それとも機器に直接触れる必要があるか。
•    攻撃はどれくらい簡単か:特別な条件を整えなくても悪用できるか。
•    ログインが必要か:攻撃するのに、事前にIDとパスワードでログインしている必要があるか。
•    利用者の操作が必要か:被害者側が何かをクリックするなどの操作をする必要があるか。

KEVの1,631件をこの4要素で分解すると、はっきりした偏りが出ます。
•    ネットワーク越しに攻撃できるものが、約73%
•    特別な条件なしに悪用できるものが、約94%
•    ログイン不要で攻撃できるものが、約71%
•    利用者の操作が不要なものが、約73%

まとめると、実際に悪用される脆弱性は遠くから・簡単に・ログインなしで・相手に何もさせずに攻撃できるものに偏っているということです。
攻撃者からすれば、手間がかからず確実に成功しやすいものを選ぶのは自然なことで、その選ばれやすさが数字にそのまま表れています。

中程度の中に潜む2つの特徴

KEVのうちMEDIUM(中程度)と評価されながら実際に悪用されている183件を、この4要素の視点で見てみると意外なことが分かります。
中程度と一括りにしても、その多くは性質の異なる2つのグループに分けられます。

ひとつは、攻撃するのに、ある程度の権限が必要なグループです(MEDIUM 183件のうち69件、約38%)。
言い換えると、いきなり外から悪用するタイプではなく、すでに何らかの形で内部に入り込んだ後に悪用するタイプ。
攻撃者が最初の侵入を果たした後、権限を広げたり、横展開する過程で使う脆弱性です。
悪用するのに一手間かかるため、スコアも中程度に収まります。

もうひとつが、ログインなしで外から届くのに、単体では影響が地味に見えるグループです(同91件、約50%)。
たとえば「情報が少し漏れるだけ」に見えるようなもの。
ところが、その漏れた情報が認証に関わるものだったりすると、話が変わります。
地味に見えた情報漏れが、実は正規利用者になりすますための鍵になっていて、そこから本格的な侵入の入口になる。
そういう単体では地味だが攻撃の連鎖の起点になるタイプが、ここに含まれています。
まさに後半の事例2(Citrix Bleed)が、この典型です。

つまり、中程度スコアだから後回しという一律の判断は危うい、ということです。
中程度の中には、侵入後に使われるものと、侵入の起点になるものが混じっている。
単純にスコアだけを見ていると、この違いは見えません。
どこから・どうやって悪用できるのかという中身まで見て初めて、その脆弱性の本当の危険度が見えてくるのです。

4. 〈速さ〉について

登録数の推移 ― 数字に騙されないための下準備

次は速さの話に入りますが、その前に、KEVがどんなペースで積み上がってきたのかを見ます(図2)。
ここを押さえておかないと、次節の数字を読み間違えます。

fig2_monthly.png

図2.KEVへの月別登録数の推移

KEVへの登録数を時期ごとに並べると、単純な右肩上がりではなく、時期によって大きな差があります。
•    2021年11月と2022年3月に、突出した山があります。これはCISAがKEVというリストを立ち上げた初期に、それまでに悪用が確認されていた過去の脆弱性を、まとめて一気に収録した時期です。この2か月だけで、全体の約3割を占めます。
•    2022年後半からは、月あたりおおむね10〜30件のペースに落ち着きます。以降は、新たに悪用が確認された脆弱性が、その都度追加されていく通常運用の時期です。
なぜこの整理をしたかというと、初期のまとめて登録した時期のものまで一緒くたに平均してしまうと、悪用までの速さが実態より遅く見えてしまうからです。

次節では、この点に注意して数字を読んでいきます。

KEV登録までの短さ ― 「公開されてから考える」では間に合わない

それでは本題の、脆弱性が公開されてKEVに登録されるまでの速さを見ます(図3)。
通常運用に入った後の、比較的新しい2024年以降に登録された577件を確認すると、その期間は中央値で25日です。
約4割が7日以内、約半数が30日以内にKEV入りしています。
つまり、KEVに登録された脆弱性の約半数は、公開からおよそ1か月以内に「悪用確認済み」として登録されているということです。

fig3_speed.png

図3.公開からKEV登録までの日数

ここから、公開後にゆっくり対応を検討している余裕がない脆弱性が相当数あるということが分かります。
特にインターネットに面した機器では、公開から数日以内に対応する(すぐにパッチを当てる、それが無理なら一時的な回避策を打つ)ことを前提にした運用が必要になります。

一方で、1年以上経ってから悪用が確認されたものも一定数あります。
これは、過去に見逃して放置された古い脆弱性が、後になって狙われるケースです。
新しく出てくるものへの即応と同時に、昔から社内に残っている古い脆弱性の棚卸しも、重要なポイントです。

5. 〈標的〉について

狙われているのは、攻撃の「どの場面」の脆弱性か

3つめの視点は標的です。
攻撃者はどんな脆弱性を狙っているのかを、どの製品かではなく、攻撃のどの場面で使われる脆弱性かという視点で、4つに分類しました(図4)。
同じ脆弱性でも、外から最初に侵入するために使うものと、侵入した後に社内で使うものとでは、意味も対策もまったく違います。

fig4_stage.png

図4.攻撃の局面で分類

•    インターネットの入口(初期侵入)― 約48%:外部から直接アクセスできて攻撃の最初の一歩に使われるもの。VPN・ゲートウェイ、公開サーバ、メール・グループウェアのサーバ、ファイル転送製品など。認証もなしに外から悪用できるものが多い。
•    内部展開・権限昇格(侵入後)― 約26%:いったん社内に侵入した攻撃者が、権限を奪ったり社内ネットワークを移動するために使うもの。OSやカーネルの権限昇格系が中心。
•    エンドポイント(利用者の操作起点)― 約24%:利用者がファイルを開く・サイトを見るといった操作をきっかけに悪用されるもの。ブラウザ、文書・PDF閲覧ソフト、スマホなど。
•    防御・復旧の破壊 ― 約2%:バックアップ製品やセキュリティ製品そのものを狙い、守りや復旧手段を無力化するもの。
(※この分類は、各脆弱性の解説文とCVSSの評価内容をもとに脆弱性の性質から見た主な利用局面を整理したものです。複数の局面に使われ得るものは、初期侵入に使えるかどうかを優先して入口に分類しています。そのため、分類のしかたによって割合は多少変わります。)

ここで注目したいのは、実際に悪用される脆弱性の2つに1つが、外から社内へ侵入する入口を狙うものだという点です。
侵入後に使う脆弱性(内部展開)も4分の1ありますが、最も多いのは外からの入口です。
これが、次節のランサムウェアの話で重要になります。

ランサムウェアは「入口」を狙う ― 数字と実例で見る

ここまではKEV全体について見ましたが、最後に、被害の大きさで特に注目されるランサムウェア事案に絞って見ます。
実は、KEVには各脆弱性について「ランサムウェアの攻撃で使われたことが確認されているか」という情報も付いています。
ここでは、このフラグが立っている脆弱性を「ランサムウェアに使われたもの」として切り分け、KEV全体と比べてみます。
データ上、ランサムウェアでの悪用が確認されている脆弱性は328件、全体の約20%で、5件に1件がランサムウェアに紐づいています。
深刻度もやや高い方に偏っていて、CRITICALとHIGHの合計はランサム関連で90.9%(KEV全体では88.5%)を占めます。
そして、前の章の攻撃の局面をランサムウェアに使われたものだけに絞って計算し直すと、偏りがさらにはっきりします(図5)。

fig5_stage_ransom.png

図5.攻撃の局面:全体 vs ランサムウェア

インターネットの入口が、全体の47.7%からランサムでは62.8%へと上昇します。
ランサムウェアでの悪用が確認されたKEV脆弱性の3分の2近くが、外から社内へ侵入するための「入口」に分類されました。
逆に、エンドポイント(利用者の操作起点)は23.5%から7.9%へと下降します。
この集計から読み取れるのは、ランサムウェアの被害が、利用者にファイルを開かせる・怪しいサイトを踏ませるといった人の操作を待つ経路よりも、外から直接こじ開けられる入口に偏っているということです。


考えてみれば、これは攻撃者にとって合理的な選択と言えます。
VPN機器のようにインターネットに面した入口は、攻撃者側がスキャンして探し出し、自分のタイミングで攻撃できます。
利用者が引っかかるのを待つことが基本となるエンドポイントと違い、狙う相手も時期も自分で選べるのです。
さらに突破した入口の先には、業務データや基幹システム、バックアップといった、企業の事業を支える資産がまとまっています。
その点では、利用者を一人ずつ釣り上げるのを待つより、VPN機器を一つ突破して企業ネットワークに入り込むほうが、効率が良いと考えられます。

実際の被害にも同じ傾向がある

ここまではKEVという脆弱性の集計でした。
これはあくまでどんな脆弱性が悪用されているかの話であって、実際の侵入がどこから起きたかを直接示すものではありません。
そこで、まったく別の出所である実被害の統計と突き合わせてみます。
警察庁がまとめている国内のランサムウェア被害の統計では、侵入経路が判明したもののうち、VPN機器やリモートデスクトップといった外部に面した機器からの侵入が8割以上を占めています [1]。
しかもこれは一時的な傾向ではなく、ここ数年同じ水準で続いています。
なお、この「VPN・リモートデスクトップ経由」には、脆弱性を突かれたケースだけでなく、推測されやすいパスワードや、どこかで漏れた認証情報を使われたケースも含まれます。
それでも、脆弱性の面から見ても(KEVで入口が62.8%)、実際の被害の面から見ても(侵入経路の8割以上が外部機器)、狙われているのは「外から社内へ入る入口」だということに変わりはありません。

同じ外向きの機器でも、狙われるものは偏っている

この偏りを、さらに具体的に見てみます。
本記事の分類では、KEVに登録された脆弱性のうち、VPN・ゲートウェイ、ファイアウォール、ルータなどのネットワーク機器に関するものは283件ありました。
このうち、ランサムウェアでの悪用が確認されているものは64件でした。
この切り口で製品の顔ぶれを比べると、ある傾向が見えます。

ランサムウェアでの悪用が確認されているネットワーク機器(64件)を見ると、Fortinet、SonicWall、Ivanti、Citrix、Palo Alto Networks、F5 など、企業のネットワーク境界に置かれるVPN・ファイアウォール・ゲートウェイ製品が多く含まれていました。
筆者分類では、このグループの大半が法人向けの境界機器に該当します。
一方、ランサムウェアでの悪用が確認されていない側のネットワーク機器(219件)では、最も多いのはCiscoでしたが、そこにD-Link、NETGEAR、TP-Link、DrayTek など、家庭・小規模環境でも使われるルータやネットワーク機器が続きます。

なお、冒頭で触れたランサムのフラグは、あくまで「使われたと確認できたもの」に付くものです。
確認できていない側は「使われていない」のではなく「使われたかどうか分からない」ということになります。
特に家庭・小規模向け機器は、被害を受けても組織的な調査や公表に至りにくく、ランサムとの関連が表に出にくい面もあります。
ですので、ここでは家庭用機器はランサムに使われないと理解するのではなく、ランサムとの関連が確認されている境界機器は、企業向け製品に偏っていると理解しておくのが良いでしょう。

では、実際にどんな攻撃が起きたのか。
データ上でランサムウェアに紐づいている脆弱性のうち、公的機関を中心に報告がされている事例を、時系列で3つ紹介します。
いずれも外部の入口が突かれ、そして2〜3章で見た"狙われやすい性質"が揃っているのが特徴です。

事例1:ファイル転送製品「MOVEit」(2023年/CVSS 9.8・CRITICAL)

社外とファイルをやりとりする製品「MOVEit Transfer」の脆弱性です。
深刻度はCVSS 9.8のCRITICALで、外部からログインなしで悪用できるタイプでした。
FBIとCISAの共同勧告により、Cl0p(クロップ)が2023年5月下旬から悪用し、製品内に保管されていたデータを盗み出したことが明らかとなっています [2]。
この事例は暗号化よりも、盗んだデータを公開すると脅す手口が中心で、MOVEitを使っていた多くの組織が連鎖的に被害を受けました。
一つの製品の脆弱性が、数百組織規模の被害に発展した典型例です。

事例2:Citrix製VPN機器「NetScaler」の情報漏れ(2023年/Citrix Bleed)

この事例は、実はスコアの付け方そのものが割れた、象徴的な一件です。
同じ脆弱性なのに、NVD(米国国立脆弱性データベース)は7.5(HIGH)、ベンダーであるCitrix自身は9.4(CRITICAL)と評価しました。
採点する主体によって、「重要」と「緊急」に分かれてしまったのです。
2章で触れた「CVSSスコアは思ったほど安定した物差しではない」が、現れた例と言えます。
中身は「メモリの内容が少し漏れる」という一見地味なものでした。
ところが漏れる内容にログインセッションの情報が含まれていたため、攻撃者はIDやパスワード、多要素認証(二段階認証)すら突破して、正規利用者になりすますことができました。
被害を受けた航空機大手Boeing社が自ら情報を提供し、CISAなどの共同勧告により、LockBit(ロックビット)がこの脆弱性を悪用したことが明らかとなっています [3]。
3章で触れた、単体では地味な情報漏れが攻撃の起点になることがそのまま被害につながった例であり、同時に、どちらのスコアを見るかで危険度の印象が変わるということを示す事例でもあります。

事例3:文書共有サーバ「SharePoint」(2025年/CVSS 9.8・CRITICAL)

社内の文書共有によく使われるMicrosoft SharePointのサーバが、2025年7月「ToolShell」と呼ばれる攻撃で広く悪用されました。
複数の攻撃グループがこの脆弱性を悪用し、そのうちの一つ(Microsoftが「Storm-2603」と呼ぶグループ)が、Warlockと呼ばれるランサムウェアを展開したと報告されています [4][5]。

この事例が示すことは2つあります。

ひとつは、CVSS 9.8という深刻な脆弱性が、Microsoftがパッチを出す前にすでに悪用されていた(=ゼロデイだった)こと。
もうひとつは、この攻撃が単独の脆弱性ではなく、認証を回避する中程度スコア(CVSS 6.5)の脆弱性と組み合わされた連鎖だったことです。
3章で触れた、単体では地味な中程度の脆弱性が攻撃の連鎖の一部として使われるということが、現実に起きた形と言えます。

3つの事例に共通すること

これら3つに共通するのは、
•    狙われたのはいずれもインターネットに面した入口(ファイル転送、VPN機器、公開サーバ)
•    深刻度が高いものが多い一方、事例2のように採点する主体によってスコアが割れ、数字だけでは危険度が測りきれないものもある
•    悪用がいずれも公開から間もないうちに始まっていた(事例3のSharePointにいたっては、パッチが出る前から悪用されていた)
ということです。

6. おわりに

KEV 1,631件を、CVSSスコアだけでは見えない〈中身〉〈速さ〉〈標的〉という3つの視点で見てきました。

•   〈中身〉 実際に悪用される脆弱性は、「遠くから・簡単に・ログインなしで・相手に何もさせずに」攻撃できるものに強く偏っていました。そして中程度スコアの中にも、侵入の起点となるものが潜んでいました。
•    〈速さ〉 通常運用期のKEVでは、CVE公開日からKEV登録日までの中央値が25日で、約半数が30日以内に「悪用確認済み」として登録されていました。
•    〈標的〉 ランサムウェアの被害は、外から社内へ侵入するための入口(VPN・ファイル転送・公開サーバなど)に偏っており、その割合は全体の47.7%からランサム事案では62.8%へと上昇しました。

共通して言えるのは、CVSSスコアの高さは、あくまで出発点にすぎないということです。
CVSSは今後も対応判断の土台として有効です。
ただ、スコアの数値だけで対応の順番を決めてしまうと、今まさに悪用されている中程度の脆弱性を後回しにしてしまうことがあります。

そこで試して頂きたいのが、スコアだけに頼らず、3つのことを確認するというやり方です。

問い① それは、KEVに載っているか?(=実際に悪用されているか)

KEVに載っているなら、スコアが何であれ、その脆弱性はすでに現実に攻撃で使われているということです。
KEV入りは、深刻度スコアと並ぶ、あるいはそれ以上に重要な判断材料です。
CISAのKEVカタログは無料で公開されており、自社で使っている製品が載っていないか照らし合わせるだけでも、大きな一歩になります。

問い② それは、外から届く入口か?(=インターネットに面しているか)

KEV入りのなかでも、VPN・ファイル転送・公開サーバといった、インターネットに面した入口は特に急ぎます。
この記事の集計が示すとおり、公開からまもなく悪用が始まりうるうえ(中央値25日)、ランサムウェアの標的もこうした入口に集中しています(初期侵入の局面が全体47.7%→ランサム62.8%)。
こうした入口は、数日以内の対応を前提に、優先して取り組みます。

問い③ そのうえで、CVSSスコアと自社の事情で、細部を詰める

ここでCVSSスコアの出番です。
影響の大きさ、その製品が自社にとってどれだけ重要か、すぐにパッチが当てられない場合の回避策があるか——こうした事情を加味して、対応の順番を最終的に決めます。
スコアは最初のふるいではなく、①②で絞り込んだうえで細部を判断するための、精度の高い物差しとして使います。

なお、この「まずKEV(実際に悪用されているか)を見る」という考え方は、米国政府でも制度に取り込まれています。
CISAは2021年の指令BOD 22-01で、KEVカタログ掲載の脆弱性を期限内に対処するよう連邦機関に求めてきました。
さらに2026年6月に発出された後継の指令となるBOD 26-04では、この方向がいっそう明確になり、CVSSスコアの高さだけで優先順位を決めるのではなく、「公開された資産か」「KEVに載っているか」「悪用を自動化できるか」「悪用でシステムを掌握されるか」という4つのリスク要素で緊急度を判定する枠組みへと移行しました[6]。
本記事が示してきた「スコアより先に、実際の悪用と外からの到達しやすさを見る」という考え方は、こうした流れとも合致します。

脆弱性の情報に追われる日々のなかで、すべてに完璧に対応するのは難しいです。
だからこそ、深刻そうな数字からではなく、実際に悪用されている事実と外からの入口かどうかから手をつける。
その順番の組み替えが、限られた人手と時間を、本当に危ないところへ振り向ける助けになるはずです。

出典

1. 警察庁, 「サイバー空間をめぐる脅威の情勢等について」(ランサムウェア被害の感染経路に関する集計).
https://www.npa.go.jp/publications/statistics/cybersecurity/
2. CISA / FBI, "#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability"(AA23-158A).
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
3. CISA / FBI / MS-ISAC / ASD's ACSC, "#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability"(AA23-325A).
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a
4. Microsoft Security Blog, "Disrupting active exploitation of on-premises SharePoint vulnerabilities".
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
5. CISA, "Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities (CVE-2025-53770)".
https://www.cisa.gov/news-events/alerts/2025/07/20/update-microsoft-releases-guidance-exploitation-sharepoint-vulnerabilities
6. CISA Issues New Directive Improving How Federal Agencies Prioritize the Mitigation of Cyber Vulnerabilities.
https://www.cisa.gov/news-events/news/cisa-issues-new-directive-improving-how-federal-agencies-prioritize-mitigation-cyber-vulnerabilities

データに関する諸注意

CVSSは原則としてNVD(米国国立脆弱性データベース)のスコア(v3.1を優先)を用いていますが、CVSSはベンダーなど採点する主体によって値が異なる場合があり(本文の事例2はその一例です)、同じ脆弱性でも参照元により深刻度が変わります。
攻撃局面の分類は、KEVおよびCVEの説明文、CVSSベクター、製品名・脆弱性名をもとに、本記事の分析目的に合わせて分類しています。複数の局面に該当し得る脆弱性は、初期侵入に使えるものを「インターネットの入口」に優先して分類しているため、分類方法によって割合が変わる可能性があります。
CVE公開からKEV登録までの日数は、CVE公開日とKEV登録日の差分であり、実際の悪用開始日を直接示すものではありません。

サイバーインテリジェンスグループ
浦田秀弥

おすすめ記事