Nデイ脆弱性の動向：攻撃までの時間短縮と「ターンキー」悪用の高まり

本稿では、データ駆動型の手法により「悪用までの時間（TTE）」が745日からわずか44日までに短縮された経緯を探り、Nデイ脆弱性が現代の脅威アクターにとってすぐに使える武器、すなわち「ターンキー」として選ばれるようになった理由を検証します。

*本記事は、弊社マキナレコードが提携する英Flashpoint社のブログ記事（2026年2月11日付）を翻訳したものです。

防御側と脅威アクターの攻防は先の見えない局面、すなわちNデイ脆弱性の悪用が急速に加速している状況を新たに迎えています。ゼロデイ脆弱性とは異なり、Nデイ脆弱性とは、その存在がすでに公開されているにもかかわらず、組織のシステムでパッチ適用や対策が行われていない既知のセキュリティ上の欠陥を指します。

従来、企業は「パッチ適用猶予期間」が存在するという前提で運用を行ってきました。これは、あるシステムが非適格または高リスクとみなされる前に、ベンダーが修正プログラムをテスト・デプロイするための期間を意味します。しかし、この猶予期間は事実上消滅しつつあり、Flashpointの調査によると、過去4年間に追跡された「既知の悪用された脆弱性（KEV）」の80％以上がNデイ脆弱性となっています。

悪用までの時間（TTE）の短縮

セキュリティ運用（SecOps）やエクスポージャー管理チームが最も憂慮すべきは、脆弱性悪用までの時間（TTE）が大幅に短縮されている点です。脆弱性の開示から最初の悪用が確認されるまでの平均日数は、2020年には745日でした。Flashpointの調査によると、2025年までにこの期間が一気に短縮し、現在では平均わずか44日になりました。

このような時間短縮は、攻撃者が活動方針を戦略的に変えていることの表れです。つまり、攻撃者は複雑なエクスプロイトが用意されるのを待つのではなく、一般に公開された脆弱性を猛スピードで武器化するようになっているのです。

攻撃的優位性としての「ターンキー」をもたらすNデイ

攻撃者は研究者が公開した概念実証（PoC）のコードを即座に武器化し、高い優位性を得ています。脆弱性の詳細とともに完全に機能するエクスプロイトが公開されると、攻撃者はこれを「ターンキー」として扱います。こうした既成のエクスプロイトとShodanやFOFAのようなインターネットスキャンツールを組み合わせることで、経験の浅い脅威アクターでさえも短時間で大規模な攻撃をインターネットの広範囲に対して仕掛けることができるのです。

その好例の1つが、BlackBastaランサムウェアの「最も楽な方法を取る」というアプローチです。2025年2月に同グループの内部チャットログが流出したことで、武器化がスムーズに行われた様子が明らかになりました。ログの分析結果によると、BlackBastaが議論していたCVE 65件のうち、54件がKEVでした。つまり、攻撃者は独自のゼロデイ研究にリソースを費やすのではなく、すでに知られているもののパッチが適用されていないがために悪用可能な脆弱性を攻撃キャンペーンに利用しているのです。

Nデイ攻撃の主な標的は防御ソフト

企業のファイアウォールやVPNゲートウェイ、エッジデバイスを保護するソフトウェアは、Nデイとゼロデイの両方によって最も狙われやすい領域となっています。

インターネットに接続することで機能するサイバーセキュリティ機器は、認証されていないアタックサーフェスを常時もたらしています。Flashpointは2025年だけでも、セキュリティソフトや境界保護ソフトを狙うNデイを37件、ゼロデイを52件観測しました。このようなシステムは外部との通信を絶えず行っているため、今後も高度持続的脅威（APT）グループやサイバー犯罪者から積極的に攻撃され続けると考えられます。

Nデイ攻撃の実行者の特定

攻撃方法の分析は重要です。一方で、この業界では脅威アクターに関する情報が複数箇所に分散しており、実行者そのものを特定することが困難になっています。同一の脅威アクターに対してそれぞれのベンダーが独自の追跡名を割り当てているため、実行者を特定する際に支障をきたす場合があります。例えば「Lazarus」として広く知られる脅威アクター集団は、少なくとも40種の別名で呼ばれており、「Diamond Sleet」「NICKEL ACADEMY」「Guardians of Peace」の名でも言及されています。

追跡名に関する問題は複雑ですが、世界中の脅威アクターの活動傾向は単純明快です。脆弱性の悪用において、これまでと同様に中国が最も活発な国家型アクターであり、その活動規模と範囲の両方でロシアやイラン、北朝鮮を上回っています。

企業セキュリティにおける落とし穴：見えない資産とCVEへの依存

なぜ企業は変化に追いつくことができないのでしょうか？最大の理由は努力が足りていないからではなく、可視性が欠けている点にあります。

1. 資産インベントリの落とし穴

企業が実践できる最も効果的な技術刷新は、新しいAIツールの導入ではなく、網羅的な資産インベントリの作成です。ほとんどの大企業にとって、総資産の25％程度を正確にインベントリ化できていれば比較的良い方です。保有資産を把握していない場合、脆弱性スキャンを実行しても結果が出るまでに数日から数週間かかるため、その間に攻撃者がネットワークの探索を行っている可能性があります。

2. CVEの罠

従来のセキュリティツールの多くはCVEに依存しています。しかし、毎年公開される脆弱性の多くにはCVE IDが割り当てられません。この「見落とされた」脆弱性こそが、標準的な脆弱性スキャナーの死角となっているのです。エクスポージャー管理をインテリジェンス主導で行うためには、CVEにとどまらず、FlashpointのVulnDB™のような独自の脆弱性データベースを利用する必要があります。VulnDB™では、公開データベースではカバーできていない脆弱性を10万5,000件以上追跡しています。

Flashpointでインテリジェンス主導型のエクスポージャー管理を推進

24時間以内で脆弱性の武器化が行われうる時代を生き抜くためには、企業や組織は事後対応的にパッチを適用するのではなく、脅威の情報に基づいた先駆的なセキュリティアプローチへと移行する必要があります。具体的には以下の3点を意味します。

• 悪用可能性や脅威アクターの活動に基づく優先順位付け：CVSSスコアが高いものだけではなく、リモートで悪用可能であったり、すでにエクスプロイトが公開されている脆弱性に着目する
• 資産インベントリによるアプローチの導入：時間のかかる定期スキャンから、速やかなトリアージを可能にする継続的な資産マッピングに移行する
• インテリジェンスの運用：脅威に関するリアルタイムのデータをSOCやIRのワークフローに直接組み込むことで、対応までの時間を削減する

エクスポージャー管理の目的は、攻撃側の目線で自社を分析することです。脅威アクターがどのNデイを話題に上げ、実際に武器化しているのかを理解することでようやく、防御側は侵害が発生する前にリスク対応策を講じられるようになります。

脆弱性に特化したFlashpointの脅威インテリジェンスを利用することで、企業や組織は「リアクティブ（受け身）」な姿勢から、「プロアクティブ（先駆的）」な対応へ移行できます。質の高い脆弱性インテリジェンスにアクセスし、インテリジェンス主導のエクスポージャー管理を行うには、デモをお申し込みください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。