結論:「フィッシングメール対策」だけやっていても、もう守れない
Cisco の脅威インテリジェンスチーム Talos が発表した 2025年Q4のインシデント対応レポートによれば、脆弱性の悪用が初期侵入手法の約40%を占め、フィッシングを抜いて1位になった。
これは攻撃のゲームルールが変わったことを意味する。従来の「不審なメールに注意しましょう」というセキュリティ教育だけでは、最大の攻撃ベクトルに対処できない。パッチ管理と脆弱性管理を最優先にシフトする必要がある。
Cisco Talos Q4 2025 データ——何が起きているのか
初期侵入手法の内訳
| 初期侵入手法 | 構成比(Q4 2025) | 前年同期比 |
|---|---|---|
| 脆弱性の悪用(Exploitation of Vulnerabilities) | 約40% | +12ポイント |
| フィッシング(メール経由) | 約25% | -8ポイント |
| 認証情報の窃取・再利用 | 約18% | +2ポイント |
| サプライチェーン攻撃 | 約10% | +3ポイント |
| その他(物理アクセス等) | 約7% | -9ポイント |
悪用された脆弱性の傾向
| カテゴリ | 具体例 | 構成比 |
|---|---|---|
| エッジデバイス(VPN/UTM/ルーター) | FortiGate、Ivanti Connect Secure、Cisco ASA | 約45% |
| Webアプリケーション | MOVEit、Confluence、Exchange | 約25% |
| OS・ミドルウェア | Windows Print Spooler、Apache Struts | 約20% |
| その他 | プリンター、IoTデバイス等 | 約10% |
攻撃手法の大転換——なぜ脆弱性悪用が主流になったのか
2020年→2025年の変遷
| 年 | 主な初期侵入手法 | 背景 |
|---|---|---|
| 2020年 | フィッシング(約50%) | コロナ禍でリモートワーク急増、急ごしらえの環境に従業員が不慣れ |
| 2021年 | フィッシング(約45%) | Emotet復活、マクロ付きOfficeファイルが猛威 |
| 2022年 | フィッシング(約38%)/ 脆弱性悪用(約28%) | Microsoft がOfficeマクロをデフォルト無効化。攻撃者がISO/LNKファイルに移行 |
| 2023年 | 脆弱性悪用(約32%)/ フィッシング(約30%) | MOVEit、Citrix NetScalerなどエッジデバイスの大規模悪用が多発 |
| 2024年 | 脆弱性悪用(約35%)/ フィッシング(約28%) | Ivanti Connect Secure、FortiGateのゼロデイが連鎖的に悪用される |
| 2025年 | 脆弱性悪用(約40%)/ フィッシング(約25%) | 自動化ツールの普及でスキャン→悪用の速度が劇的に向上 |
なぜ脆弱性悪用が急増したのか——3つの構造的要因
要因1:自動化ツールの普及で「攻撃のスケーリング」が可能に
脆弱性が公開されると、24〜48時間以内にPoCエクスプロイトコードが流通し、自動化スキャンツールに組み込まれる。攻撃者は手動でターゲットを選ぶ必要がなくなり、インターネット全体を自動スキャンして脆弱な機器を片端から攻撃できるようになった。
Shodan、Censys などのインターネットスキャンエンジンの存在も、脆弱な機器の特定を容易にしている。
要因2:企業のパッチ適用が遅すぎる
Mandiant の調査によれば、CVE 公開からパッチ適用までの中央値は約36日。一方、攻撃者が脆弱性の悪用を開始するまでの中央値は約5日。つまり、平均的な企業は攻撃者の7倍遅い。この「パッチギャップ」が攻撃者にとって最大のチャンスとなっている。
要因3:エッジデバイスの急増と管理の盲点
VPN、UTM、ロードバランサー、WAF——企業のネットワーク境界に設置される「エッジデバイス」は年々増加している。しかし、これらの機器は以下の理由でパッチ適用が後回しにされがちだ。
- 更新にサービス停止が伴うため、メンテナンスウィンドウの確保が難しい
- 「動いているものは触るな」文化が根強い
- サーバーやPCのパッチ管理ツールでは管理できない
- ベンダーサポートが切れた旧機種が放置されている
「パッチを当てる順番」を間違えていませんか?
すべての脆弱性に同時に対応するのは不可能。CISA KEVカタログに基づく優先順位付けで、限られたリソースで最大の効果を出す方法を一緒に設計します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
企業の防御戦略をどう変えるべきか
戦略転換1:パッチ管理の優先度を「最上位」に引き上げる
セキュリティ予算の配分を見直す時期だ。フィッシング対策(メールフィルタリング、訓練)は引き続き重要だが、パッチ管理への投資比率を増やすべきだ。
CISA KEV(Known Exploited Vulnerabilities)カタログの活用
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開している「実際に悪用された脆弱性カタログ(KEV)」は、パッチ適用の優先順位を決めるうえで最も実用的な基準だ。
- KEV に掲載された脆弱性は実際に攻撃に使われていることが確認済み
- 2026年4月時点で1,200件以上が登録済み
- CVSS スコアだけではわからない「実際のリスク」を反映している
運用ルール例: KEV に掲載された脆弱性 → 72時間以内にパッチ適用。CVSS 9.0以上かつKEV未掲載 → 7日以内。CVSS 7.0以上 → 30日以内。
戦略転換2:脆弱性スキャンの頻度を上げる
四半期に1回の脆弱性スキャンでは、攻撃者のスピードに追いつけない。
| スキャン頻度 | 推奨対象 |
|---|---|
| 週次 | インターネットに面するエッジデバイス(VPN、UTM、WAF) |
| 月次 | 社内サーバー、データベース |
| 四半期 | 社内PC、開発環境 |
戦略転換3:エッジデバイスの定期更新を制度化する
VPN機器やUTMのファームウェア更新を「気が向いたとき」ではなく、制度として運用ルールに組み込む。
- 月1回の定期メンテナンスウィンドウを設定する
- ファームウェアバージョンを資産管理台帳に記録し、毎月メーカーサイトで更新を確認する
- ベンダーサポートが終了した機器は即座にリプレースする(EOL機器の脆弱性は修正されない)
- CISA KEV に自社のエッジデバイスの脆弱性が掲載された場合は、緊急パッチ適用のトリガーとする
中小企業の現実的な脆弱性管理フロー
大企業のようなSOCやCSIRTがなくても、以下のフローで最低限の脆弱性管理を実現できる。
ステップ1:資産の棚卸し(所要時間:2〜4時間)
自社のIT資産を一覧化する。特に以下を重点的に洗い出す。
- インターネットに面する機器(VPN、UTM、ルーター、ファイアウォール)
- 公開Webサーバー・Webアプリケーション
- リモートアクセス環境(RDP、VDI)
- クラウドサービス(Microsoft 365、Google Workspace等)
ステップ2:情報収集の仕組み化(所要時間:30分)
以下のメール通知・RSSを登録し、脆弱性情報を自動受信する。
- JPCERT/CC 注意喚起メーリングリスト(日本語、無料)
- IPA 重要なセキュリティ情報(日本語、無料)
- CISA KEV カタログ更新通知(英語、無料)
- 自社で使用しているベンダーのセキュリティアドバイザリ
ステップ3:パッチ適用ルールの策定(所要時間:1〜2時間)
| 脆弱性の深刻度 | 対応期限 | 対象 |
|---|---|---|
| CISA KEV 掲載 | 72時間以内 | すべて |
| CVSS 9.0以上 | 7日以内 | インターネット面の機器優先 |
| CVSS 7.0〜8.9 | 30日以内 | 月次メンテナンスで対応 |
| CVSS 7.0未満 | 四半期以内 | 定期更新サイクルで対応 |
ステップ4:月次レビュー(所要時間:1時間/月)
月1回、以下を確認する。
- 未適用パッチの一覧と対応状況
- エッジデバイスのファームウェアバージョン
- 新たに公開された脆弱性と自社への影響
- CISA KEV カタログへの新規追加項目
まとめ
| 項目 | ポイント |
|---|---|
| 最大の初期侵入手法 | 脆弱性悪用(約40%)——フィッシングを逆転 |
| 最も悪用される対象 | エッジデバイス(VPN/UTM/ルーター)が約45% |
| パッチギャップ | 攻撃者は5日で悪用開始、企業は36日でパッチ適用 |
| 防御戦略の転換点 | フィッシング対策主軸 → パッチ管理・脆弱性管理を最優先に |
| 中小企業の第一歩 | 資産棚卸し → 情報収集の仕組み化 → パッチ適用ルール策定 |
関連記事:脆弱性診断・ペネトレーションテストガイド 関連記事:VPN代替 ZTNA比較ガイド 関連記事:ゼロトラストセキュリティ実装ガイド 関連記事:導入事例一覧
よくある質問(FAQ)
Q1. フィッシング対策はもう不要ということですか? A. いいえ。フィッシングは依然として全侵入の約25%を占めており、引き続き重大な脅威です。ただし、セキュリティ対策の重心をパッチ管理にシフトすべきだという点が、今回のデータの最大の示唆です。フィッシング対策とパッチ管理は「どちらか」ではなく「両方」必要ですが、優先度はパッチ管理が上です。
Q2. CISA KEV カタログは日本企業にも関係がありますか? A. はい。サイバー攻撃に国境はありません。CISA KEV に掲載される脆弱性は世界中で悪用されており、日本企業も例外ではありません。JPCERT/CC も KEV カタログを参考に注意喚起を発出しています。英語のカタログですが、CVE番号で検索すれば自社の機器が該当するかは容易に確認できます。
Q3. 中小企業で脆弱性スキャンを自社運用するのは現実的ですか? A. クラウド型の脆弱性スキャンサービスを利用すれば、専任のセキュリティ担当者がいなくても運用可能です。Tenable Nessus Essentials(16IPまで無料)やOpenVAS(オープンソース)から始めることもできます。自社運用が難しい場合は、セキュリティベンダーのマネージド脆弱性管理サービスの利用を検討してください。
Q4. エッジデバイスのパッチ適用でサービスが止まるのが怖いのですが? A. 正当な懸念です。対策として、(1) 冗長構成(HA構成)でのローリングアップデート、(2) 深夜帯のメンテナンスウィンドウの定期設定、(3) テスト環境での事前検証を推奨します。ただし、CISA KEV 掲載のCritical脆弱性については、サービス停止リスクよりも攻撃されるリスクの方が高いことを認識してください。
参考情報
- Cisco Talos「Year in Review 2025 & Q4 Incident Response Trends」
- CISA「Known Exploited Vulnerabilities Catalog」
- Mandiant「M-Trends 2026」
- IPA「情報セキュリティ10大脅威 2026」
- JPCERT/CC「脆弱性対策情報データベース JVN」
攻撃手法が変わったなら、防御も変えるべきです
VPN・UTM・ルーターの脆弱性診断から、パッチ管理運用ルールの策定まで。「何が危険で、何から手をつけるべきか」を一緒に整理します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK