脅威アクター、脆弱性、露出資産が交差する顧客環境の実態

Tenable Research は、600 以上の脅威グループを実際の顧客環境における露出に結びつけるグラフベースのモデルを開発しました。このモデルは、深刻度、活発な悪用、そして組織リスクの交差点にどの脆弱性が位置しているかを明らかにします。

本ブログシリーズの前 2 回の記事では、脆弱性が加速度的に増大している現状と、修復が追いつかず対応格差が広がっている実態を取り上げました。今回は、そこから生じる「これらの力学は、顧客環境のどこで実際に衝突するのか」という核心的な問いに答えます。Tenable Research は、600 を超える追跡対象の脅威グループと 7,800 の組織で観測された脆弱性をマッピングした有向グラフモデルを用い、現実世界で最も高いリスクを伴うエクスポージャーはどれか、そして防御側が有限の修正リソースをどこに集中させるべきかを明らかにします。

脆弱性と修正をめぐる現状の把握

迅速な対応の必要性については、以前の記事ですでに論じたとおりです。第 1 回の投稿では、Tenable Research は、脆弱性管理の状況を一変させる 3 つの力の収束を明らかにしました。

• AAI 駆動型の脆弱性発見ツールが CVE 件数の増加を加速させ、2026 年には約 59,000 件に達すると予測されること
• NIST が 国家脆弱性データベース (NVD) の拡充範囲をわずか 3 つの限定的なカテゴリに縮小する決定を下したこと
• パッチ適用の優先順位付けを公開深刻度メタデータに依存する組織には構造的なギャップが生じること

第 2 回の投稿では、Verizon Data Breach Investigations Report (DBIR、2026 年度データ漏洩/侵害調査報告書) との共同作業に基づき、修復面の現状を数値で示しました。

• 脆弱性の悪用が急増し、侵害の 31% において主要な初期侵入経路となっていること
• パッチ適用までの期間の中央値が 32 日から 43 日に延びていること
• 調査対象組織全体で、CISA (米国サイバーセキュリティ・社会基盤安全保障庁) の悪用既知脆弱性 (KEV) が完全に修復されている割合はわずか 26% に過ぎないこと

これらの調査結果は、Tenable が長年にわたり主張してきたように「すべてにをパッチを当てる」という戦略はすでに有効ではないことを裏付けています。同時に、重要な問いは未解決のまま残されています。すべてにパッチを適用できない以上、組織は最大のリスクが自社環境のどこに集中しているのかを正確に把握しなければなりません。

本稿は、以下の問いに答えます。

• 数万件に及ぶ現存の脆弱性のうち、特定された攻撃者が実際に悪用しているのはどれか
• 現在、それらの具体的な脆弱性を抱えている組織はどの程度存在するのか
• 深刻度、実際の悪用状況、現実の露出状況を具体的に重ね合わせたとき、その交差地点にはどのような実態が浮かび上がるのか

脅威エクスポージャーグラフの構築

Tenable Research は、CVE 単位のスコアリングから、攻撃者の実態を捉えた優先順位付けへと進化させるため、「脅威アクター」、「攻撃手法」、「悪用される脆弱性」、そして「それらの脆弱性が実際に検出されている顧客環境」という 4 つの実在エンティティを連結する有向グラフモデルを構築しました。
 

サイバーエクスポージャーグラフの簡略図。 このグラフは、「脅威アクター」、「攻撃手法」、「悪用される脆弱性」(CVE と非 CVE の両方)、「それらの脆弱性が実際に検出されている顧客環境」という 4 つの実在エンティティを、リスクが実際に流れる方向に沿って結びつけたものです。 

本分析における顧客基盤は、2026 年 5 月時点で Tenable の脆弱性管理製品によりアクティブに監視されている、米国およびカナダの 7,800 組織で構成されています。各環境にどの CVE および非 CVE 脆弱性が存在するかを示すプラグイン検出テレメトリを、Tenable の Research Special Operations (RSO) チームがキュレーションした独自の脅威アクター追跡データ、および公開されている MITRE ATT&CK 攻撃手法データと結合しました。

このグラフでは 600 以上の名前付き脅威アクターグループを追跡しています。各グループについて、特定の CVE (追跡対象グループ全体で 6,000 以上の CVE) を直接悪用すること、または特定の MITRE ATT&CK 攻撃手法 (58 の固有の手法を観測) を好むことが記録されています。

悪用手法は、既知の悪用対象となる CVE および CVE 以外の脆弱性にマッピングされるため、名前付き攻撃者が顧客環境に到達する経路は 2 つ存在することになります。悪用された脆弱性を直接介する経路、または環境内に存在する弱点を悪用するテクニックを間接的に介する経路です。

このフレームワークにより、優先順位付けの問いは「この CVE の深刻度はどの程度か」から「この CVE を通じてどの名前付き攻撃者が自社環境に到達し得るのか、そしてその露出状況を他に何組織と共有しているのか」へと変わります。これは、CVE 単位のスコアリング層がそもそも提供するよう設計されていなかった、根本的に異なる種類のインテリジェンスです。

• 共通脆弱性評価システム (CVSS) は、脆弱性の技術的な危険度を示します。
• 悪用予測スコアリングシステム (EPSS) は、脅威アクターによって悪用される可能性の高さを示します。
• CISA KEV の KEV カタログは、悪意あるアクターによって悪用された事実を示します。
• Tenable の脆弱性優先度評価 (VPR) と Vulnerability Watch は、これらのシグナルを独自の脅威インテリジェンスと組み合わせ、CVE 単位の優先度推奨を提供します。

いずれも有益な指標ですが、自組織固有の資産インベントリや、悪用が文書化されている名前付き攻撃者にスコアを結びつけるものではありません。

調査結果を提示する前に、2 つの重要な注意事項を述べます。

1. 当社が報告するのはエクスポージャー指標であって、侵害の予測ではありません。Tenable が、顧客が名称付き攻撃者に「露出している」と述べる場合、それは対象環境に、当該脅威アクターが過去に悪用したことがある、またはそのグループの文書化されたテクニックプロファイルと合致する脆弱性が 1 件以上存在することを意味します。攻撃を予測したり、侵害を断定したりするものではありません。
2. すべての分析は、2026 年 5 月 1 日以降のスキャンウィンドウを対象としています。「アクティブ」とは、同日以降に少なくとも 1 回の Tenable スキャンでその脆弱性が観測されたことを指します。 最終スキャンから本稿公開までの間に、顧客側でパッチが適用されている場合もあります。

Tenable の調査結果

追跡対象の脅威グループに関連する脆弱性は広く蔓延

脆弱性の蔓延状況を示すデータは極めて深刻なものです。この調査における 7,800 の組織のうち、5,333 の組織 (68%) が、何らかの名前が付いた脅威アクターによって過去に悪用されたことのあるアクティブな CVE を少なくとも 1 件抱えています。この数字だけでも深刻な状況がうかがえますが、さらに注目すべきはその集中具合いです。3,517 の組織 (45%) は該当する CVE を 25 件以上、さらに、653 の組織 (8%) は 100 件を超えて保有しています。

問題は CVE にとどまりません。4,686 の組織 (60%) が、設定ミス、脆弱な認証情報、EOL ソフトウェアの露出といった非 CVE のアクティブな脆弱性を少なくとも 1 件抱えており、これらはいずれも追跡対象の脅威アクターが常用することが知られている攻撃手法と結び付いています。こうした問題に CVE 識別子は付与されませんが、実際には悪用可能であり、攻撃者の「プレイブック」において日常的に利用されている攻撃経路となっています。

脅威アクター側では、追跡対象の 600 超のアクターのうち 321 が、アクティブな脆弱性を通じて少なくとも 1 つの顧客環境に到達可能です。これには、多くのセキュリティチームがすでに追跡しているランサムウェア組織 (Conti、Ryuk、RansomHub) 、公的な帰属実績を持つ国家系オペレーター (Cozy Bear、Fancy Bear、Andariel、Volt Typhoon、Salt Typhoon)、そして詳細に文書化された APT クラスター (APT1、FIN7、MuddyWater、Earth Lusca) が含まれます。

本調査の対象組織は、高度に成熟したサイバーセキュリティプログラムを有している可能性が高く、Tenable から詳細な脆弱性の優先順位付けに関するデータの提供を受けています。いわば、脅威アクターの標的となりうる組織群の中でも、より備えの整った側に位置する存在です。セキュリティ能力が十分に成熟していない組織のエクスポージャー状況は、合理的に推測する限り、これをはるかに上回ると考えられます。

これらは優先度の低い脆弱性ではない

本研究で脅威グループとの関連が確認された 6,000 件超の個別 CVE は、全 CVE 母集団と比較して、VPR の上位層において著しく高い集中を示しています。

クリティカル層 (VPR ≥ 9) では、本研究の脅威グループに関連する CVE の集中度はグローバルベースラインの 9 倍に達します。こうしたエクスポージャーが解消されない主な理由は、優先順位付けへの取り組みの不足ではありません。Tenable のデータによれば、本研究の顧客の大部分は、過去数年にわたり VPR スコア 7 以上の CVE に対する修正率を大幅に改善しています。むしろ、解消されずに残り続けているという事実は、本シリーズの最初の 2 つの記事で示された中心的な知見、すなわち「新たな脆弱性の急増が、十分なリソースを持つ組織でさえ修復能力を超えつつある」ことをさらに裏付けるものです。

エリートアーセナル

すべての脅威グループに関連する脆弱性にパッチを当てることができないのであれば、組織はどこに注力すべきでしょうか。 脅威グループに関連する CVE 群のうち、512 件 (8%) が CISA KEV カタログに登録されています。これは、グローバル CVE プログラム全体における KEV のシェア (1% 未満) と比較して、1 桁多い水準です。DBIR の記事で述べたように、KEV 登録済みの脆弱性でさえ、大多数の環境で未修正のまま残されています。

Tenable のクリティカル VPR 層 (VPR ≧ 9)、KEV カタログ、そして記録に残る脅威グループによる悪用という 3 つの条件の交差地点から、厳選された短いリストが導き出されます。それは、3 つの基準をすべて満たす 242 件の CVE です。 Tenable はこのサブセットを「エリートアーセナル」と呼んでいます。 この 242 件のうち、1 件を除くすべてが、少なくとも 1 つの組織環境でアクティブに検出されています。

エリートアーセナルの経過年数は、なぜこれらの脆弱性が解消されずに残存しているかを如実に示しています。

• エリートアーセナル CVE の半数以上 (53%) は、少なくとも 5 年前のものです。
• 約 5 件に 1 件 (19%) は少なくとも 10 年以上前であり、最も古いものは 2009 年にまで遡ります。
• 経過年数の中央値は 5 年です。

これらの脆弱性は、特定の価値の高い CVE がアタックサーフェスに恒久的に定着し、何千もの組織にわたる長年の修正努力を乗り越えて存続するという構造的な問題を表しています。

この永続性を特に危険なものにしているのは、それを悪用する攻撃者の幅広さです。Tenable Research は、242 件のエリートアーセナル CVE のうち 54 件を「継続的に悪用されている」と独自に認定しました。これは、数か月ではなく、数年単位で持続的かつ複数の攻撃主体による武器化が見られることを意味します。

• この 54 件のうち、国家支援の APT グループが、そのすべてを武器化しています。
• 98% がコモディティマルウェアの配信に組み込まれています。
• 80% がランサムウェア攻撃に悪用されています。
• 78% は、Tenable が「三重兵器化」と呼ぶ状態にあり、国家レベルのスパイ活動を行う攻撃者、コモディティマルウェアの運用者、そしてランサムウェア組織によって同時に悪用されています。

未修正のエリートアーセナル CVE を抱える組織は、これら 3 種類すべての脅威に同時にさらされることになります。

この 54 件の CVE における攻撃者の集中度は際立っています。

• 最も広く見られる国家主体である Salt Typhoon は、54 件中 12 件に関連して登場します。
• 最も広く見られるランサムウェア攻撃組織である Black Basta は、15 件に登場します。
• このセットで最も一般的な攻撃ツールである Cobalt Strike は、20 件にわたって確認されています。

これらは孤立した関連性ではありません。同一の脆弱性が、スパイ活動、恐喝、金銭目的の犯罪への侵入経路として同時に機能する、重層的な悪用エコシステムを示しています。本シリーズの過去 2 件の投稿でも示唆した通り、サイバー攻撃の状況は AI の進歩とともに急速に進化しています。フロンティアモデルが広く利用可能になったことで、異なる攻撃経路のマッピング、連鎖、悪用は格段に容易になりました。ここでの調査結果が示すのは、依然としてあまりにも多くの組織が、AI を活用した攻撃にとって比較的容易な標的となり得る、周知のエリートアーセナル CVE を自社環境に抱えているという現実です。

広く報告され、長年にわたってエリートアーセナルに定着している代表的な例としては、以下が挙げられます。

ネットワークエッジデバイス 

• Citrix NetScaler ADC「Citrix Bleed」(CVE-2023-4966)
• Cisco IOS XE Web UI 特権チェーン (CVE-2023-20198、CVE-2023-20273)
• Atlassian Confluence (CVE-2022-26134、CVE-2023-22515、CVE-2023-22518)
• F5 BIG-IP iControl REST (CVE-2022-1388)
• Palo Alto Networks PAN-OS (CVE-2024-0012、CVE-2024-3400)
• Ivanti Connect Secure VPN (CVE-2024-21887、CVE-2023-46805)
• ConnectWise ScreenConnect (CVE-2024-1708、CVE-2024-1709)

エンドポイントとオフィス

• Microsoft Office のリモートコード実行の脆弱性 (CVE-2017-0199、CVE-2017-11882)
• Windowsカーネル特権昇格 (CVE-2018-8453、CVE-2021-1732)
• Outlook NTLM 認証情報漏洩 (CVE-2023-23397)
• VMware vCenter (CVE-2023-34048)
• JetBrains TeamCity (CVE-2023-42793)

ドメインとSMB

• EternalBlue ファミリー (CVE-2017-0144、CVE-2017-0143、CVE-2017-0146)
• Zerologon (CVE-2020-1472)
• Sandworm/BlackEnergy (CVE-2014-4114)

CVE 単位での修復アプローチでは、複数の脆弱性が同一環境に共存することで生じる複合的なリスクを見落としてしまいます。エリートアーセナルには、単体では達成不可能な攻撃目標を実現するために、複数の CVE を連鎖させた実証済みのエクスプロイトチェーンが複数登録されています。

• ProxyLogon チェーン (CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065) では、4 つの脆弱性を連鎖させることで、攻撃者が Exchange Server を完全に掌握できます。
• Ivanti Connect Secure チェーン (CVE-2024-21887 および CVE-2023-46805) は、認証バイパスとコマンドインジェクションを組み合わせたものです。
• FortiOS SSL-VPN の資格情報窃取 (CVE-2018-13379) は、Zerologon (CVE-2020-1472) へ直接連鎖し、ドメイン全体の侵害に至ることが確認されています。

これらのチェーンにおける一部のリンクだけにパッチを当ててもリスクは低減しますが、すべてのリンクにパッチを適用することで攻撃経路を完全に断つことができます。個別の CVE スコアのみに基づいて優先順位を決定している組織では、複合的なチェーンが残存する可能性があります。

エリートアーセナルの中で最も広く検出されている CVE トップ 10 (それぞれ 2,000 以上の顧客環境で確認) は以下のとおりです。

1. CVE-2013-3900 — WinVerifyTrust 署名検証 (環境数 3,027)
2. CVE-2026-21513
3. CVE-2020-1472 — Zerologon
4. CVE-2023-28252 — CLFS
5. CVE-2023-32046 — Windows MSHTML
6. CVE-2013-2465 — Java SE
7. CVE-2023-36874 — Windows Error Reporting (Windows エラー報告)
8. CVE-2025-41244
9. CVE-2021-44228 — Log4Shell
10. CVE-2022-30190 — Follina

242 件のエリートアーセナル CVE 全体における出現率の曲線は、下記のチャートからわかるように、急激な低下を示しています。最も出現率の高い CVE は 3,000 を超える環境で確認されている一方、ロングテールの末端には、ごく少数の環境にしか存在しない CVE も含まれています。

しかし、最も重要な発見は、242 件中 241 件がいずれかの環境で現在も活動しているという事実です。3 つのエリート基準をすべて満たす CVE のほぼすべてが、少なくとも 1 つの監視対象環境においてリアルタイムで検出されています。

エリートアーセナル CVE セットの出現率 (2026 年 5 月時点)。曲線上の各点は、エリート基準を満たす 242 件の CVE (VPR クリティカル 9 以上、CISA KEV 掲載、追跡対象の脅威グループから到達可能) を、調査対象の組織全体における出現頻度の高い順に並べたものです。縦軸は、各 CVE がアクティブに検出された組織環境の数を示しています。

エリートアーセナルは通常、独立した CVE セットとして報告されるものではありません。ただし、VPR 9 以上の KEV 脆弱性をすべて修正できない組織に対しては、少なくとも Tenable の Vulnerability Watch リストに掲載されているものを優先対応することを推奨します。2024 年以降に公開されたエリートアーセナル対象 CVE の 52% 超が、Vulnerability Watch に少なくとも 1 度掲載されています。セキュリティチームが影響度の高い修正判断を行う際にぜひご活用いただきたいリソースです。

CVE 以外のエクスポージャー領域

CVE ベースの優先順位付けが機能するのは、CVE が列挙可能な形で存在しているからです。各 CVE にはグローバルで一意の識別子が付与されており、業界のあらゆるスコアリングフレームワークはその識別子を基盤としています。

一方、Active Directory の権限設定ミス、不適切なパスワード管理、暗号化されていないデータベース接続、外部公開された管理インターフェースといった非 CVE の検出事象に対しては、同様の標準化されたインフラが存在しません。これらの項目には、CVE 番号、VPR スコア、KEV カタログへの掲載はいずれも適用されません。

標準的なスコアリングが不在であることは問題です。なぜなら、非 CVE の検出事象もまた攻撃対象領域に直結するからです。本調査の顧客ベース全体では、7,769 組織 (実質 100%) が対応可能な非 CVE の検出事象を少なくとも 1 つ保有しており、そのうち 4,686 組織 (60%) は追跡対象の脅威アクターが好んで用いる手法に紐づく検出事象を保有しています。

観察された非 CVE 検出項目の約半分はソフトウェアの誤設定、15% はサポート終了ソフトウェアによるエクスポージャーであり、残りは脆弱な認証情報、監査ギャップ、および攻撃者のプレイブックが日常的に依存するポリシーギャップです。

設定ミスに対して「エリートアーセナル」に相当する概念は存在しません。しかし、グラフモデルを活用することで、「追跡対象の脅威アクターがその手法プロファイルに沿ってたどる可能性が高いパス上に、どの非 CVE 検出項目が存在するのか?」という実用的な問いに答えることができます。この分析に基づき、今日の非 CVE 優先順位付けを導く 4 つの原則を示します。

1. CVE 番号や VPR スコアがないという理由だけで、非 CVE エクスポージャーを優先順位の対象外としないでください。当社のグラフに基づく予備的な侵害予測モデリングでは、非 CVE エクスポージャーは CVE に紐づく検出項目よりもデータ侵害リスクが高い可能性が示唆されています。
2. 非 CVE のカテゴリ内では、設定ミスとサポート終了ソフトウェアを最優先としてください。両者を合わせると、対応可能な非 CVE 検出項目の 65% を占めており、サポート終了ソフトウェアは定義上パッチ適用が不可能です。構成のドリフトとサポート終了ソフトウェアの資産は、MITRE ATT&CK の攻撃者プレイブックにおいて、特に一貫して悪用されるエントリポイントの 1 つです。
3. 優先順位付けの軸として、ATT&CK 手法の到達可能性を活用してください。脅威アクターに関連付けられた非 CVE の検出項目を保有する 4,686 の組織は、エリートアーセナル CVE を保有する顧客群に対応する「非 CVE 版」と位置付けられます。特に、貴社の業界で活発に利用されている攻撃者の主要な手法にマッピングされる設定ミスは、検出件数が多くても ATT&CK 手法に紐付いていない検出事象と比べて、より高い運用上の優先度を持つと考えられます。
4. 非 CVE の修正は、パッチ作業ではなく、アイデンティティと構成の作業であると認識してください。攻撃者のプレイブックに登場する非 CVE 検出項目の多く (過剰な権限を持つサービスアカウント、公開された管理インターフェース、脆弱な認証、監視されていない特権アクセスなど) は、アイデンティティと構成の制御を強化することで対処できます。「パッチを適用したか」ではなく、「適切に強化したか」が問われます。

Tenableは、Tenable One エクスポージャー管理プラットフォームの攻撃経路分析機能をはじめ、非 CVE 領域に対するスコアリングおよび優先順位付けインフラへの投資を継続しています。これにより、攻撃者の手法への到達可能性を、最優先の優先順位付けシグナルとして扱うことが可能になります。

ループを閉じる

本シリーズの 3 つのブログ記事は、マクロ規模からミクロ規模のアタックサーフェス評価に至るまで、一貫した論点を追うものです。

『迫り来る脆弱性の波がすべてを一変させる理由、そして取るべき対策とは』で報告された大量発生の危機は、パッチ対応のキューが拡大し続けることを意味します。『Verizon DBIR 2026 の主な調査結果: 脆弱性対策の遅れと悪用の加速が浮き彫りにVerizon DBIR 2026の主な検出結果』で明らかになった修正ギャップは、従来の手法では組織がそのキューを十分な速さで処理できないことを意味しています。

そして本記事で示したエクスポージャーデータは、対応の遅れによる影響が測定可能であり、特定の攻撃者に帰属でき、かつ名前を挙げて優先順位付け可能な特定の脆弱性セットに集中していることを示しています。

データは明確です。本調査の対象となった 7,800 組織の大部分が、既知の脅威アクターによって悪用された実績のある脆弱性を抱えています。200 件以上のクリティカルかつ KEV 登録済み、さらに脅威グループに関連付けられた CVE が、顧客ベース全体にアクティブに存在しており、その多くは数年前に公開されたものです。また、本来注目されるべきにもかかわらず軽視されがちな非 CVE のエクスポージャー領域は、ほぼすべての組織に見られ、文書化された攻撃者の手法と直接一致しています。

優先順位付けにおいて問うべきなのは、もはや「何がクリティカルか」ではありません。重要なのは、「何がクリティカルであり、自社の業界を標的とする脅威グループによって悪用される可能性が高く、なおかつ自社環境内に実在しているのか」を見極めることです。

CVE 単位のスコアだけでは、その答えにはたどり着けません。必要なのは、脅威アクターの行動と自社環境に潜む具体的な弱点を結び付けて可視化する、グラフベースのアプローチです。このような「到達可能性を踏まえた優先順位付け」を修復プログラムの中核に据えることで、組織は限られたリソースを単なる件数の消化に費やすのではなく、測定可能なリスク低減に集中できるようになります。

インテリジェンス、プラットフォーム、そしてエビデンスの基盤は、今日まさにその転換を実現するために存在しています。今後も脆弱性の大量発生は減速せず、修正の猶予期間が長くなることも、攻撃者が待ってくれることもないでしょう。制御可能なのは、どこに焦点を当てるかです。

ここで提示したデータと脅威エクスポージャーマッピングの手法は、組織が自社環境内で攻撃者に実際に到達可能な箇所を明確に把握できるようにするための、より広範な取り組みの出発点です。Tenable は今後も脅威アクターに関するインテリジェンスの収集・分析を継続し、お客様の優先順位付けをより強力に支援してまいります。その取り組みの成果についても、今後数か月にわたり順次共有していく予定です。

加速する脆弱性発見の世界において重要なものに優先順位を付ける Tenable One Exposure Management Platform の詳細をご確認ください。