Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > Synack 2026年レポート:エクスプロイトウィンドウが数時間に短縮

Synack 2026年レポート:エクスプロイトウィンドウが数時間に短縮

by Patrick Spencer updated 5月 29, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

2026年5月14日、Synackは2026年版脆弱性レポートを発表しました。これは、2025年に顧客環境で特定された11,000件以上の悪用可能な脆弱性を分析したものです。Help Net Securityによる中心的な発見は「AIにより脆弱性悪用のウィンドウが数時間に短縮された」という点です。

3つの発見が並び、全体像を物語っています。2025年に公開されたCVEは48,244件に達し、前年比20%増加。すべてのトリアージキューが前年より多くのインプットを処理しています。テスト環境での脆弱性総数はほぼ横ばいでしたが、内容は悪化。高深刻度の発見は10%増加し、RCEは39%増、総当たり攻撃は17.4%増、コンテンツインジェクションは8%増加。低・中深刻度の発見は減少。SynackプラットフォームでのAIおよびLLMセキュリティミッションは前年比120%増加—3年前には実質的なテスト対象でなかった分野が、今や組織が攻撃を受けると予想する領域となっています。

5つの重要なポイント

1. 悪用ウィンドウは数時間にまで短縮

Synackの2026年脆弱性レポートによると、AIを活用した攻撃者は新たに公開された脆弱性を、公開から数時間以内に悪用しています—2022年までは数週間かかっていたものです。これは単なるスピードアップではなく、構造的な変化です。従来の「公開から武器化まで数日間の猶予がある」という前提はもはや通用せず、その前提で作られたインシデント対応計画は誤ったタイムラインで動いていることになります。

2. 平均MTTRは63日から38日に短縮—それでも追いつけない

2025年、平均修復時間(MTTR)は47%短縮されました。高深刻度の修復は42日、重大深刻度は25日短縮。防御側は確実にスピードアップしていますが、依然としてタイムライン競争には負けています。悪用は数時間で始まり、パッチは数日〜数週間後。両者のギャップが侵害の発生点であり、攻撃者のツールが加速するほどそのギャップは拡大しています。

3. 高深刻度の発見が10%増加、総数は横ばい

総数が安定する中で内容が悪化しています。リモートコード実行(RCE)は39%増、総当たり攻撃は17.4%増、コンテンツインジェクションは8%増。低・中深刻度の発見は実際に減少—トリアージキューに残るのは攻撃者が武器化するものばかりです。分母も拡大し、2025年の公開CVEは48,244件、前年比20%増。インプット増、内容悪化、悪用の高速化が進んでいます。

4. SynackでのAI・LLMセキュリティテストミッションが前年比120%増加

3年前にはほとんど存在しなかったテストカテゴリが、今やペンテスト投資で最も成長が速い分野の一つです。組織は次に攻撃を受けると予想する領域でテストに投資しています。AIガバナンスやデータ層の制御はもはやオプションではなく、このテスト急増によって検証されるべきコントロールです。

5. パッチ適用のスピードは構造的に不十分。答えはアーキテクチャ

悪用が数時間で始まり、パッチが数週間後に到着するなら、戦略的な問いは「どうパッチを早くするか」ではありません。予防が失敗したとき、パッチウィンドウをどう生き延びるかが問われます。CVSS 10のLog4Shellも、WAFや侵入検知、強化された分離、シングルテナント分離が組み込まれた環境では、実質的な影響はCVSS 4にまで低減しました。こうしたアーキテクチャ上の強化はもはや贅沢ではなく、規制対象コンテンツを扱うデータ交換チャネルの標準的な期待値となっています。

自社のセキュリティを信じていますか?その根拠はありますか

Read Now

「数時間」とはどれほど速いのか?具体的な数字

2025年の平均修復時間(MTTR)は38日で、2024年の63日から大幅に短縮。高深刻度脆弱性は前年より42日、重大深刻度は25日早く修復されました。これらは確かな進歩ですが、攻撃者のタイムラインにはまだ追いついていません。Synack CTOのMark Kuhr博士は「攻撃者はますます短い時間枠で脆弱性を特定し、悪用できる」と明言しています。より率直に言えば、防御側がパッチ適用競争に勝ったとしても、その競争自体がもはや勝負の本質を捉えていません。

React2Shell:実例に見るパターン

SynackはReact2Shell(CVE-2025-55182、CVSS 10.0)を典型例として挙げています。この脆弱性は2025年12月3日に公開され、React Server Components(React 19.0+、Next.js含む)における安全でないデシリアライズの問題です。認証されていない攻撃者が悪意あるHTTPリクエストで任意コードを実行可能でした。

公開から数時間以内に、Amazonの脅威インテリジェンスが中国系グループによる積極的な悪用を観測。Darktraceがハニーポットを展開して数分で、機会的な悪用が始まりました。CISAは2日後にこの脆弱性を既知悪用脆弱性カタログに追加。2026年2月には、AI生成のマルウェアがReact2Shellを悪用し、コーディング知識のない攻撃者が大規模言語モデルを使って機能的なエクスプロイトを作成、91台のホストが侵害されました。パッチは存在していましたが、最初の72時間で被害を受けた組織には意味がありませんでした。

Mandiantのデータも同じ現象を裏付け

MandiantのM-Trends 2026は、50万時間超のインシデント対応調査に基づき、悪用後の崩壊的なスピードを記録しています。2022年には、攻撃者の初期侵入から二次攻撃グループへの引き継ぎまでの中央値は8時間超でしたが、2025年には22秒にまで短縮されました。

22秒はSOCが対応できる時間ではありません。アラートが発報されてからTier1アナリストがタイトルを読み終えるまでの時間です。エクスプロイトは6年連続で最も一般的な初期感染経路となり、全侵入の32%を占めました。Vishingが11%で2位、メールフィッシングは6%に低下。SynackとMandiantの両データを合わせて読むと、攻撃は数時間で始まり、22秒で拡大し、組織の防御アーキテクチャが想定していたよりもはるかに速く被害が進行することが分かります。

「パッチを早く」だけでは戦略にならない理由

過去20年、脆弱性管理のドクトリンは「検知を早く、パッチを早く、封じ込めを早く」。より良いSIEM、SOAR、EDR、脆弱性管理。すべての防御ツール世代が、攻撃者と同じライフサイクル内での圧縮を目指してきました。

しかしSynackとMandiantのデータは、攻撃者がそのライフサイクル自体から抜け出したことを示唆しています。AIによる偵察、自動エクスプロイト生成、事前構築された二次インフラ、コーディング知識のない運用者によるAI生成マルウェア—これらは従来の攻撃モデルの最適化ではなく、まったく異なる攻撃モデルです。今後12ヶ月以内に、すべての組織が本番環境で既知悪用脆弱性を抱えることになるでしょう。なぜなら、パッチ適用が公開から悪用までのタイムラインに追いつかないからです。セキュリティチームの怠慢ではなく、もはや数学的に成立しないのです。

パッチスピード重視ドクトリンの次に来るもの

アーキテクチャによる代替策は、悪用が成功しても耐えうる多層防御(Defense in Depth)です。2021年12月にCVSS 10のLog4Shellが発生した際、Kiteworks環境内での実質的な影響はCVSS 4でした。これは顧客がパッチを早く適用したからではなく、WAFや侵入検知、強化された仮想アプライアンス分離、シングルテナント分離がCVSS 10の脆弱性の実害を変えたからです。Kiteworksの2026年予測は、これをサプライチェーンセキュリティ要件と位置付けており、データ交換技術の近代化はもはやオプションではありません。

React2Shell級の脆弱性が公開された際、多層防御アーキテクチャで何が変わるかを考えてみてください。デフォルト設定の共有環境では、ほぼ即座に侵害され、平均38日間の修復期間がそのまま滞留時間となります。一方、強化分離とシングルテナント分離を備えた多層防御環境では、WAFやネットワーク制御、侵入検知がアプリケーションスタックを超えて封じ込めを実現。ラテラルムーブメントも構造的に制限され、最も機密性の高いデータフローに対する悪用の条件がそもそも存在しません—脆弱性が存在していてもです。これこそ、新たな脅威のスピードに対応するために不可欠なアーキテクチャ上の強化です。

最もリスクにさらされている業界は?

2025年、製造、テクノロジー、政府が重大および高深刻度の発見で最大の割合を記録しました。製造業は資産数の伸びが最も顕著。テクノロジー業界は重大なSQLインジェクション発見の最大シェアを占め、次いで金融サービス。重大なRCE発見は業界全体に比較的均等に分布しました。

このパターンは業界に依存せず、チャネルに依存します。機密データ交換を担うすべての業界—HIPAA下のPHI、CMMC下のCUI、PCI DSS下の決済カードデータ、州プライバシー法下のPII—が同じ構造的リスクに直面しています。パッチウィンドウがそのまま侵害ウィンドウとなる時、データ交換チャネルが最も大きな影響を受ける場所となります。

今、組織が取るべき行動

第一に、悪用ウィンドウの崩壊を構造的な条件として捉えること。アーキテクチャの問いこそが戦略的な問いです。パッチSLAのスピードは問題の一側面に過ぎません。

第二に、最も機密性の高いコンテンツ(規制文書、パートナーとの通信、PHIやCUIを含む添付ファイルなど)がどのデータ交換チャネルを通じて流れているかを棚卸しし、何がどのチャネルを通っているか、通るべきでないものは何かを特定しましょう。

第三に、セキュリティプログラムにアーキテクチャ上のレジリエンス指標を追加しましょう。悪用成功時の封じ込めまでの平均時間、被害範囲スコア、重要なデータ交換チャネルにおける多層防御の層数—これらは予防が失敗した時に重要となる指標です。

第四に、機密性の高いデータフローを強化されたプラットフォームに統合することを検討しましょう。機密データ交換を単一の強化プラットフォームに集約することで、パッチサイクルのリスクと監査準備時間の両方を削減できます。Kiteworksの2026年予測では、これを即時リスク低減策として記載しています。

第五に、次のReact2Shell級AI脆弱性公開前に、AI対応ガバナンスを構築しましょう。Synackのテスト急増は、次に悪用が発生する場所を示しています。機密データへアクセスするAIエージェントのガバナンスフレームワークは、脆弱性公開前に整備しておく必要があります。Kiteworks AI Data GatewayとSecure MCP Serverは、どのモデルやフレームワークが悪用されてもデータ層ポリシーを強制します。

Synack 2026レポートは、防御側が失敗しているとは述べていません。むしろ、ルールが変わったゲームで防御側が成功していると指摘しています。パッチスピードは時間を稼ぎますが、アーキテクチャは結果をもたらします。

悪用可能な脆弱性から機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

AIを活用した攻撃者が、新たに公開された脆弱性を公開から数時間以内に悪用しています。Synackは2025年に11,000件超の悪用可能な脆弱性を分析—公開CVEは48,244件(20%増)、高深刻度の発見は10%増、AI/LLMセキュリティテストミッションは120%増。平均MTTRは63日から38日に短縮されましたが、悪用が数時間で始まる現状では依然として不十分です。

React2Shell(CVE-2025-55182、CVSS 10.0)は、React Server Componentsにおける安全でないデシリアライズの脆弱性で、認証なしでRCE(リモートコード実行)が可能です。2025年12月3日の公開から数時間で中国系グループによる積極的な悪用が始まり、2026年2月にはAI生成マルウェアによるホスト侵害も発生しました。これはSynackが新たな悪用スピードの典型例として挙げており、パッチが存在していても最初の72時間で被害を受けた組織には不十分だったことを示しています。

SLA遵守を継続しつつ、補完的なコントロール—多層防御アーキテクチャ、被害範囲(ブラストラディウス)の封じ込め、機密データアクセスの証拠品質の監査トレイル—を構築してください。規制当局はパッチコンプライアンスと並んで、こうしたアーキテクチャ上の姿勢をますます期待しています。機密データ交換を単一の強化プラットフォームに統合することで、パッチサイクルのリスクと監査準備時間の両方を同時に削減できます。

両者は侵害の両側面から同じ構造的変化を記録しています。Synackは数時間での悪用を、Mandiantは22秒での二次攻撃者への引き継ぎを発見。両者を合わせると、ほとんどの組織がアラートをエスカレーションするのに必要な時間枠内で攻撃ライフサイクルが完結していることが分かります。戦略的な意味合いは同じで、パッチスピードだけに依存した防御ドクトリンは構造的に不十分です。

HIPAA違反通知義務は、PHIが無許可でアクセスされた場合に発生します—それが数時間であろうと数週間であろうと関係ありません。悪用ウィンドウが数時間となった今、予防だけに依存したHIPAAプログラムは、修復が始まる前に完了するインシデントにさらされます。PHIフローを強化された多層防御プラットフォームに統合することで、インシデント発生確率と違反通知義務の両方を低減できます。

はい。CMMCレベル2では、すべての伝送チャネルでCUIの実証可能な保護が求められます。悪用ウィンドウが数時間となった今、アクセス制御やシステム保護コントロールに加え、予防が失敗した際の被害範囲封じ込めを示すアーキテクチャ上のコントロールが必要です。監査およびアカウンタビリティ(AU)やシステム・情報の完全性(SI)の証拠が、新たな脅威環境で評価者が重視するポイントとなっています。

SynackでのAI/LLMテストミッションは120%増加—次の悪用の波がどこに来るかを示唆しています。規制対象データでAIエージェントを運用する組織は、次のAI特有のReact2Shell級脆弱性公開前にガバナンスフレームワークを整備する必要があります。AI Data GatewayとSecure MCP Serverは、どのAIモデルやフレームワークが悪用されてもデータ層ポリシーを強制できる唯一のアーキテクチャです。

3つの数字:2025年の公開CVEは48,244件、悪用ウィンドウは今や数時間、二次攻撃者への引き継ぎは22秒(Mandiant)。そしてアーキテクチャの問い:当社のデータ交換チャネルのうち、悪用が成功しても耐えられるものと、そうでないものはどれか?取締役会での議論は「パッチを増やす」ことではなく、パッチウィンドウが構造的に耐えられる場所はどこか、という点です。Gartnerは2028年までに組織の50%がゼロトラストデータガバナンスを導入すると予測しており、Synackの発見はそのタイムラインを加速させる根拠となります。

追加リソース

  • ブログ記事 国際研究における臨床試験データの保護方法
  • ブログ記事 CLOUD法と英国データ保護:なぜ管轄が重要なのか
  • ブログ記事 ゼロトラストデータ保護:高度なセキュリティのための実装戦略
  • ブログ記事プライバシー・バイ・デザイン:GDPRコントロールをMFTプログラムに組み込む方法
  • ブログ記事 国境を越えたセキュアなファイル共有でデータ侵害を防ぐ方法

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks