中央値に至っては無限小です。
Zero Day Clockというサイトで、CVEが公開されてから実際に悪用が確認されるまでの期間を表したグラフを見ることができます。
この『悪用が確認』は『3500件以上の攻撃が確認された』という基準だそうです。
どうして3500かは謎。
From Vulnerability to Exploitation
この集計が始まった2018年は、脆弱性が公開されてから悪用されるまでの平均値は2.3年、中央値は2.1年でした。
パッチ適用まで1年かかってもそこまで問題はなかったという、大変牧歌的なペースですね。
しかしこの間隔は、その後驚くべき勢いで短縮されていきます。
今から5年前の2021年には平均値は10か月、中央値は2.2か月にまで短くなりました。
平均値は半減程度ですが中央値は1/10となっており、短期間で攻撃される脆弱性が増えたことを意味しています。
そして2026年には平均1.6日、中央値はなんと0です。
つまり、脆弱性の半分以上はゼロデイ攻撃に使われているし、残りのほとんども数日以内に攻撃されるということです。
わずか10年足らずで驚異的な進歩ですね。
全く嬉しくない進歩ですが。
Zero-Day Rate
攻撃が観測された脆弱性のうち、ゼロデイ攻撃された割合です。
2025年に50%を越え、2026年は実に3/4の脆弱性がゼロデイ攻撃されています。
このタイムスパンでは、CVEが公開されてからパッチ適用をはじめるという、これまでの運用では防御が間に合わないことが明らかですね。
Exploit Rate
公開されたCVEのうち、実際に悪用が確認された割合です。
1-2%前後ということで、真に危険な脆弱性の割合はそこまで多いというわけでもないようです。
もっとも割合はそこまででもないとはいえ、CVEの数は年間10万件以上あるので、数の上では相当あるわけですが。
2026年の割合が少ないのは、直近なのと、AIによってどうでもいい脆弱性までリストアップされるようになったからでしょうか。
The Collapse
データは単純な事実を示している。
2018年は、脆弱性が公開されてから悪用されるまでの期間の中央値は771日だった。
組織はパッチを適用するまで2年もの猶予があったのだ。
2023年にはその猶予は6日となり、2024年は4時間となった。
そして2025年には、公開されるより前に攻撃に使用されていた。
グラフは指数関数的減衰に沿っている。
すなわち、これは安定化ではなく、崩壊である。
根本的な問題として、ソフトウェアベンダーがセキュリティパッチをリリースすると、AIは数分以内にそれをリバースエンジニアリングし、修正された脆弱性を特定して、数時間以内に攻撃を始める。
しかし、組織がパッチをテストして適用するには20日かかる。
脆弱性を修正する行為が、かえってその悪用を加速させるのだ。
そして、防御側が態勢を整えるより前に攻撃が始まる。
組織は、ライフサイクルの99.9%の期間において脆弱性に晒されている。
月例パッチはもはや意味をなさない。
これは、より優れたツールがあれば解決できるような技術的な問題ではない。
現代社会のすべてに悪影響を及ぼす、構造的欠陥である。
感想
ということで、もはや攻撃のほとんどがゼロデイだから、これまでの防御手法は役に立たなくなっている、今までとは異なる脆弱性対策の枠組みが必要だ、との結論です。
ただ対策の項目に挙げられている対策は、いずれもビッグテック以外は、あるいはビッグテックですら困難な非現実的主張になっています。
たとえば真っ先に上がっているHold the Makers Accountableは、脆弱性のある製品を出荷した場合は製作者に法的責任を取らせろという主張です。
つまり、FOSSは死滅します。
またStop Patching. Start Rebuilding.は、マシンが侵害された場合は中身をすべて破棄してクリーンインストールしなおせという主張です。
AWSやAzureのようなインフラであればまだしも、個人でやるのなんて無理ですよね。
過去の記録がたくさん詰まった個人PCが汚染されたから全部削除しろとか、個人PCが汚染されたときのためにクローンをつくっておけ、などと言われてもね。
まあ対策の項目はともかく、脆弱性対策はもはや最優先事項であり、喫急の課題なのでがんばっていかなければならないのは間違いないでしょう。
そういや自宅PCが未だにWindows10のままだったわ。