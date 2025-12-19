Visional

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森 厚志）が運営する、脆弱性管理クラウド「yamory（ヤモリー）」（https://yamory.io/ 以下「yamory」）は、独自の脆弱性情報データベースをもとに、2025年の脆弱性セキュリティレポートを公開しました。

公的データベース（NVD）の機能不全により「見かけ上の脆弱性数」が減少する一方で、水面下ではソフトウェアサプライチェーン攻撃が高度化・複雑化しています。

また1月14日には、本レポートの内容を深掘りし、2026年に向けて企業が取るべき対策を解説するオンラインセミナーを開催いたします。

【サマリー】

1. NVD登録件数が2011年以来の減少予測。しかし「見えないリスク」は増大

2. マリシャスパッケージ検知数が2年で約4倍、過去最多の6,849件を記録。「Shai-Hulud」等、手口が高度化

3. 大企業でランサムウェア被害が頻発。VPN機器の管理不全が浮き彫りに

NVD登録件数の減少

米国国立標準技術研究所（NIST）が運営する脆弱性データベース（NVD）で公開されている脆弱性数（CVE）は年々増加を続けてきましたが、2025年（11月末時点）は若干の減少傾向を示しています。しかしこれはリスクの減少を意味するものではありません。 米国政府機関の予算・体制問題等により登録作業に大幅な遅延（バックログ）が発生しており、実際には報告されているにもかかわらず公開されていない脆弱性が大量に滞留しています。特に、脆弱性対策に不可欠な製品情報（CPE）等のメタデータ付与（Enrichment）が追いついておらず、検知漏れが発生するリスクが高まっています。

yamoryオートトリアージによる絞り込み

yamoryでは、独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能（特許番号：6678798号）を提供しています。オートトリアージ機能により即日対応が必要とされる「Immediate」に分類された脆弱性は、NVDで公開されている「High」「Critical」の脆弱性14,411件（CVE-2025）から、2,370件に絞られました。CISA KEVカタログ（※）に掲載され、既に悪用が観測されている脆弱性は135件でした。

すべての脆弱性に対応することは不可能であり、CISA KEVやPoC等の脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要があります。

※CISA KEVカタログ：CISA（アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁）が公開している「実際に攻撃者が積極的に悪用していることが確認されており、対応が急がれる脆弱性」の一覧。

詳細：https://yamory.io/blog/cisa-kev/

ソフトウェアサプライチェーン攻撃

マリシャスパッケージの急増：2年で約4倍に

yamoryの独自データベースにおける悪意あるパッケージ（マリシャスパッケージ）数は、過去最多となる6,849件を記録しました。 そのほとんどがWeb開発に不可欠なnpm（Node.js）エコシステムを標的としています。

攻撃の手口も質的に変化しており、2025年は「Shai-Hulud（シャイ＝フルード）」ワームのように、感染したシステムを踏み台にGitHub Issueの作成などを通じて自動的に拡散・自己増殖を試みる「連鎖型」の攻撃が確認されました。

大企業も狙われるランサムウェア攻撃

2025年は、国内の著名な大企業や組織において、ランサムウェアによるシステム障害や業務停止が相次いだ一年でした。特に、ランサムウェアの主な感染経路としてVPN機器等からの侵入が多くを占め、VPN機器は、組織のネットワークへの侵入を許す「主要な入り口」として狙われやすい状況にあります。

yamoryが2025年11月に実施した実態調査(https://prtimes.jp/main/html/rd/p/000000748.000034075.html)によると、従業員数1,000名以上の大手企業であっても、48.3%がVPN機器のバージョン情報を正確に把握しておらず、63.3%が脆弱性発覚時に該当機器を即時に特定できないという結果が出ました。 高度な攻撃手法が注目されがちですが、被害の実態は「既知の脆弱性の放置」にあります。まずは「資産の完全把握」と「即時パッチ適用」という基本動作の徹底が不可欠です。

yamory プロダクトオーナー 鈴木 康弘 コメント

2025年は、NVDの登録遅延などにより、私たちが信頼してきた公的な情報基盤が揺らいだ年でした。だからこそ、求められているのは「情報の完全性」を待つことではなく、「今、守るべきものは何か」を見極める力です。 不確実な情報環境下でも、KEV（悪用確認済み脆弱性）などの脅威情報や、自社の資産管理を徹底することで、リスクの高い箇所を特定し、対処することは可能です。また、昨今のランサムウェア被害は、高度な技術以前に、資産管理やパッチ適用といった「当たり前の対策」の徹底がいかに難しいかを浮き彫りにしました。 2026年は、AIによる攻撃と防御の発展が予測される一方で、足元を固める原点回帰の対策こそが組織を守る鍵となると考えています。サプライチェーン全体のITシステム、ソフトウェアの「資産管理」「リスク管理」というセキュリティの基礎を改めて見直すことが重要です。yamoryは、皆様のセキュリティ対策を支援できるよう、今後もサービスを磨いてまいります。

＜レポート概要＞

以下の情報をもとに作成

（対象期間：2020年1月1日～2025年11月30日）

‐ National Vulnerability Database（NVD）

‐ yamory 脆弱性データベース

‐ yamory の脆弱性スキャンによって検知された脆弱性の統計情報

解説ウェビナー開催

2025年セキュリティレポートについての解説ウェビナーを開催します。本セミナーでは、NVD機能不全や急増するサプライチェーン攻撃など激動の1年を総括し、2026年に向けた動向をお伝えします。

あわせて、独自のデータベースとオートトリアージ機能により、「対応すべき脆弱性」を即座に特定・管理できる脆弱性管理クラウド「yamory」を活用した具体的な解決策について解説します。

セキュリティのトレンドや2026年に実施すべき対策を知りたい方、ソフトウェアサプライチェーンセキュリティについて興味がある方はぜひご参加ください。

＜セミナー概要＞

内容：

・2025年セキュリティレポートの解説

・脆弱性管理クラウドyamoryのご紹介

・Q&A

日時：2025年1月14日（水） 13:00～14:00

配信方法：Zoom（フォームよりご登録いただいたメールアドレス宛に、ご案内をお送りします）

参加費：無料

お申し込みはこちら :https://yamory.io/seminar/2025-security-report

【脆弱性管理クラウド「yamory（ヤモリー）」について】

「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。クラウドからオンプレまでの脆弱性管理と、ソフトウェアのSBOM対応をオールインワンで実現します。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。

URL：https://yamory.io/

X：https://twitter.com/yamory_sec

【株式会社アシュアードについて】

「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory（ヤモリー）」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。

URL：https://assured.inc

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/