はい、こんにちはー!クロスイノベーション本部 サイバーセキュリティテクノロジーセンターの福山です。
2025年もReact2Shellなどを筆頭に多くの脆弱性情報が公表されました。
公開された脆弱性情報の傾向を1年単位で振り返ってみたいと思い、各種サイトのAPIを用いて収集し、分析してみました。
収集対象のデータ
2025年に公表された約5万件のCVEを含む各種データを、スクリプトで収集しました。
取得した情報の内容や抽出条件については以下を参照してください。
取得情報の一覧を表示
| 取得情報 | 概要 | 取得方法 | 参照元 |
|---|---|---|---|
| CVE-ID | 脆弱性の一意の識別子。NIST(米国国立標準技術研究所)が運営するNVDに登録されたCVE番号を使用 | 2025年に公表されたCVE-IDを全件取得 | NVD(https://nvd.nist.gov/vuln) |
| CVSS Base Score | 基本評価基準に基づいて、脆弱性そのものの深刻度を数値(0.0〜10.0)で評価したスコア | 対象CVE-IDにおける、CVSS v3.1(※1)のスコアを取得。取得優先度はNIST評価(Primary)>CNA(※2)評価(Secondary)で、両方未評価の場合は「N/A」とする。 | NVD(https://nvd.nist.gov/vuln) |
| CVSS 深刻度レベル | CVSS Base Scoreを基に分類した深刻度レベル(Low / Medium / High / Critical) | 対象CVE-IDにおける、CVSS Base Scoreに基づく深刻度レベルを取得。取得優先度はNIST評価(Primary)>CNA評価(Secondary)とする。 | NVD(https://nvd.nist.gov/vuln) |
| NVDステータス | NVDにおける当該脆弱性の分析状況(例:Undergoing Analysis、Analyzed など) | 対象CVE-IDにおける、NVDステータスを取得 | NVD(https://nvd.nist.gov/vuln) |
| CWE-ID | 共通脆弱性タイプ(Common Weakness Enumeration)の識別子 | 対象CVE-IDにおける、CWE-IDを取得。取得優先度はNIST評価(Primary)>CNA評価(Secondary)とする。 | NVD(https://nvd.nist.gov/vuln) |
| RCE | リモートから任意のコード実行が可能かどうか | 筆者独自のフィルター。対象CVE-IDにおいて、Descriptionに大文字・小文字に関わらず「remote code execution」「execute arbitrary code」「arbitrary code execution」のいずれかのキーワードが含まれ、かつAttack Vectorが「NETWORK」であるか判定 | NVD(https://nvd.nist.gov/vuln) |
| CISA KEV | 実際に悪用されているかどうか | CISAのKEV(Known Exploited Vulnerabilities Catalog)への登録有無、ベンダー名、製品名を収集 | CISA KEV(https://www.cisa.gov/known-exploited-vulnerabilities-catalog) |
| PoC | PoC(概念実証コード)が公開されているかどうか | 筆者独自のフィルター。PoC-in-GitHubのデータを基に判定(※GitHubに存在するPoCのみ参照)。具体的にはZIPファイルを取得したうえで、全ファイルパスを走査し、CVE-IDが含まれる場合は抽出。 | PoC-in-GitHub(https://github.com/nomi-sec/PoC-in-GitHub) |
| MSF | Metasploit Frameworkに当該脆弱性のモジュールが組み込まれているかどうか | 筆者独自のフィルター。Metasploit Frameworkに対象CVE-IDを示すファイルが存在するかチェック。具体的にはZIPファイルを取得したうえでmodules/配下のファイルパスを走査し、CVE-ID形式の文字列があれば抽出。 | Metasploit Framework(https://github.com/rapid7/metasploit-framework) |
| EPSS Score | FIRSTが提供するEPSS(Exploit Prediction Scoring System)。今後30日以内に悪用される確率の予測値(0〜1) | 対象CVE-IDにおける、EPSS Scoreを取得 | FIRST EPSS(https://www.first.org/epss/) |
(※1)CVSS v3.1の上位バージョンであるCVSS v4.0が2023年11月に公開されたが、2025年に公表されたCVE全体の約25%しか評価されておらずNVDによる評価が進まないため、広く普及していない状況である。本記事ではCVSS v3.1をベースに解説を進める。
(※2)CNA=CVE Numbering Authorityの略称で、MITRE社から認定を受けて採番を行う組織のこと。
2025年 分析結果
2025年に公表されたCVEの総数は49,972件でした。
2024年は40,704件であったため、前年比で約23%増、9,000件近くの増加となっています。
以降、分析結果の詳細です。
深刻度レベル別(2024/2025年)
2025年に公表された全CVEにおける、深刻度レベル別の件数です。
2024年と比較して全体的に増加傾向となっています。
2025年分は直近での集計ということもあり2024年分と比較すると差が出ていますが、それでも未評価のCVEが前年比約4倍と目立ちます。
NVDとしては、CNAによる評価の迅速化であったり、CWEの紐づけをLLMで自動化するなどの効率化(※)を図っているようですが、それでも対応が追いついていないことがわかります。
(※)参考:Vulnerability Root Cause Mapping with CWE
深刻度レベル別(2025年月別)
2025年に公表された全CVEにおける、月別/深刻度レベル別の件数です。
直近で公表されたCVEに未評価が多いのは当然ですが、12月は未評価が1,500件を超えています。
NVDではKEVに登録があるものを優先して評価(※)しているようですが、直近の脆弱性には対応が追いついていない状況が見て取れます。
今は未評価でも、分析が進むにつれてCriticalレベルと判明する脆弱性が出てくる可能性はありそうです。
(※)参考:The National Vulnerability Database (NVD) – Where It Is and Where It’s Going
NVDステータス別
左が2024年、右が2025年に公表された全CVEにおける、NVD分析状況の割合を100%積み上げ棒グラフで示したものです。
(各ステータスの意味は下表を参照してください)
2024年分はAnalyzed(分析完了)と Modified(更新)を合わせて約80%の分析が完了しています。
一方、2025年分は分析完了の割合は前年並みを維持しているものの、Awaiting Analysis(分析待ち)が約40%と大きく目立ちます。
ここについては今後分析が進んでいくと思われますが、現状では情報の確定に時間を要していることが伺えます。
また、Rejected(却下)されたCVEが前年比で2倍以上に増加している点も注目すべき変化です。
背景には、特定のライブラリに起因する脆弱性が製品ごとに乱立した際のCVEの統合や、昨今話題となっているAIツールを用いた大量かつ低品質な脆弱性報告の増加(※)といった、NVDを取り巻く環境の変化が影響していると考えられます。
(※)参考:NVD's HUGE Backlog: Vulnerability Crisis Explained
| ステータス名 | 意味 | 解説 |
|---|---|---|
| Received | 受理 | NVD登録初期状態 |
| Awaiting Analysis | 分析待ち | CVEの情報は公開されているが、NVDによるCVSSスコアやCWEの紐付けなどの詳細分析を待っている状態 |
| Undergoing Analysis | 分析進行中 | CPE(情報システムを構成する、ハードウェア・ソフトウェアなどの識別子)やCWEの付与を行っている最中の状態 |
| Analyzed | 分析完了 | NVDによる詳細分析がすべて完了した状態 |
| Modified | 修正 | 分析完了後に、新しい情報が追加・更新された状態 |
| Deferred | 延期 | 分析の優先順位が下げられた状態 |
| Rejected | 却下 | 脆弱性ではないと判明した、あるいは既存のCVEと重複していた等の理由で、CVE-ID自体が取り消された状態 |
攻撃コード公開済み脆弱性の割合(PoC/MSF)
2025年に公表された全CVEにおける、PoCが公開されているCVEの割合は2.47%で、1,234件ありました。
GitHub以外やプライベートリポジトリのPoCも含めると、実際にはこの数値より膨らむものと推測されます。
また、上記のうちMetasploit Frameworkでモジュール化されているCVEの割合は4.04%で、50件でした。
攻撃コードがモジュール化されている脆弱性は、高度な技術を持たない攻撃者でも簡単に悪用できる可能性があるため、特に注意が必要です。
悪用確認済み脆弱性の割合(CISA KEV)/製品内訳(上位5製品)
左の円グラフは2025年に公表された全CVEのうち、CISA KEVに登録された割合を示しており、全体の0.33%でした。
件数にするとわずか167件ですが、これらは理論上のリスクではなく、実際に悪用されていることが確認されているため、優先的に対応すべき重大な脆弱性として取り扱う必要があります。
右の円グラフは、その中でも悪用報告が多かった製品の内訳です。
Windowsが17.37%と最多なのは、多くの企業で共通基盤として使われており、攻撃者にとって最も効率よく広範囲に影響を及ぼせるためと考えられます。
また、上位にはFortinetやIvantiといったネットワーク機器も並んでいます。
VPNなどの境界を守る機器は、一度突破されると組織内への侵入や権限奪取に直結するため、OSと同等に執拗な標的となっていると考えられます。
RCE可能な脆弱性の割合/悪用確認済みネットワーク機器内訳
2025年に公表された全CVEにおいて、リモートコード実行(RCE)可能と判断されるものは、全体の3.25%でした。
リモートから悪意のあるコードを実行された場合、情報窃取や攻撃の起点となるリスクが高く、特に注意が必要です。
さらにその中でも悪用確認済みの脆弱性に絞ると、ネットワーク機器の脆弱性が3割を超えています。
なお、これらの脆弱性のうちCWE-787(境界外書き込み)に分類される脆弱性は約4割と最も多く占めていることもわかりました。
これらの境界機器のRCEは、認証を介さず外部から直接システム権限を奪取できるものが多いため、昨今のランサムウェア攻撃において最も警戒すべき侵入経路とされています。
CWE別件数(上位10位)
2025年のCWE別件数の上位10タイプを、2025年(オレンジ)と2024年(グレー)で比較しました。
CWE-79(クロスサイトスクリプティング)が不動の1位となっています。
また、最も件数が増加したのはCWE-74(インジェクション)で1,169件増加、一方で最も件数が減少したのはCWE-787(境界外書き込み)で843件減少となりました。
CWE-74については、2025年に暫定策として取り入れられたGap Filling(CNAから提出されたCVSSおよびCWEデータを再検証せずに、一時的に受け入れるもの)による登録促進(※)の影響で、CNA側で付与したCWE-74が精査を待たずに大量に登録されたことが、増加の主な要因ではないかと推測しています。
(※)参考:The National Vulnerability Database (NVD) – Where It Is and Where It’s Going
CWE別リスク分布
前項では件数に着目しましたが、ここでは筆者独自の観点で、リスクベースで分析してみます。
下図のバブルチャートでは、バブルの大きさが2025年に公表されたCVE総数を表し、X軸にRCE可能なCVE件数、Y軸にCISA KEVに登録されたCVE件数でプロットしたものです。
その中でもRCE可能な件数が50件以上、KEV登録数が10件以上のCWEに注目し、右上の領域にプロットされたCWEを下表にリストアップしました。
これらの脆弱性タイプは、段階を踏まずインターネット越しから任意のコマンドを実行できる割合が高く、悪用実績も多数報告されているため、特に注意が必要なカテゴリと言えるでしょう。
一方で最もサイズが大きいバブルはCWE-79ですが、単体でのRCEやKEV登録数は相対的に低めです。
| CWE-ID | 名称 | 解説 |
|---|---|---|
| CWE-787 | 境界外書き込み | メモリ操作時の不備により、本来の範囲を超えてデータを書き込んでしまう脆弱性のタイプ |
| CWE-502 | 信頼できないデータのデシリアライゼーション | 外部から受け取ったデータをオブジェクトに復元する際、悪意あるコードを実行可能にする脆弱性のタイプ |
| CWE-78 | OSコマンドインジェクション | OSコマンドの生成時に外部入力のバリデーションを不適切に行うことで、任意のコマンドを実行可能にする脆弱性のタイプ |
CVE別/2025年最も危険な脆弱性4選
2025年を通して最も危険な脆弱性について、個人の見解に基づいて選抜しました。
選抜の観点としては以下です。
- CVSSスコア10(最大値)かつRCE、PoC、MSF、KEVをすべて網羅している脆弱性
もし自社の環境や稼働しているシステムに下記に該当する脆弱性が存在する場合は、一刻も早く対処することをおすすめします。
| CVE | Published | Vendor | Product | CVSS | CWE | RCE | PoC | MSF | KEV | EPSS |
|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-32433 | 2025-04-16 | Erlang | Erlang/OTP | 10 | CWE-306 | TRUE | TRUE | TRUE | TRUE | 0.43921 |
| CVE-2025-47812 | 2025-07-10 | Wing FTP Server | Wing FTP Server | 10 | CWE-158 | TRUE | TRUE | TRUE | TRUE | 0.924 |
| CVE-2025-55182 | 2025-12-03 | Meta | React Server Components | 10 | CWE-502 | TRUE | TRUE | TRUE | TRUE | 0.5512 |
| CVE-2025-37164 | 2025-12-16 | Hewlett Packard Enterprise (HPE) | OneView | 10 | CWE-94 | TRUE | TRUE | TRUE | TRUE | 0.8131 |
CVE別/今後悪用が広まる可能性が高い脆弱性4選
最後に、2025年に公表されたCVEの中で、今後悪用が広まる可能性が高い脆弱性について、個人の見解に基づいて選抜しました。
選抜の観点としては以下です。
- CWE別リスク分布で特定したCWEのうち、EPSSスコア0.9以上(直近30日間で悪用される可能性が非常に高い)かつPoC、MSFが公開されている脆弱性
これらの脆弱性も早期に特定し、優先的に対処することをおすすめします。
| CVE | Published | Vendor | Product | CVSS | CWE | RCE | PoC | MSF | KEV | EPSS |
|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-0282 | 2025-01 | Ivanti | Connect Secure, Policy Secure, and ZTA Gateways | 9 | CWE-787 | TRUE | TRUE | TRUE | TRUE | 0.94105 |
| CVE-2025-24016 | 2025-02 | Wazuh | Wazuh Server | 9.9 | CWE-502 | TRUE | TRUE | TRUE | TRUE | 0.93801 |
| CVE-2025-24813 | 2025-03 | Apache | Tomcat | 9.8 | CWE-502 | TRUE | TRUE | TRUE | TRUE | 0.94183 |
| CVE-2025-53770 | 2025-07 | Microsoft | SharePoint | 9.8 | CWE-502 | FALSE | TRUE | TRUE | TRUE | 0.91188 |
まとめ
2025年はこれまで以上に脆弱性情報の量が増えたと感じていましたが、実際に分析することで日々のニュースを追うだけでは見えてこないその年の傾向や、NVDを取り巻く環境の変化や運用方針の転換が、データに影響を及ぼしていることが見えてきました。
CWEの総数で上位10位に入っていないものの、ひとたび悪用されればRCEに直結しやすく、かつ実際にKEVとして登録されるケースも目立ちました。
特に、ネットワーク機器の深刻な脆弱性として分類される傾向が見えたCWE-787と、冒頭でも触れたReact2Shellを含む CWE-502の動向には引き続き注視する必要がありそうです。
執筆:@fukuyama.kenta
レビュー:@miyazawa.hibiki
(Shodoで執筆されました)
