詳細を読む
CVSS(共通脆弱性評価システム)の基本スコアだけに依存した脆弱性トリアージが、実際の攻撃チェーンを見逃す構造的な欠陥を抱えていることが、CrowdStrikeのAdam Meyers SVPへの独占取材やセキュリティ専門家の指摘で改めて浮き彫りになりました。VentureBeatが2026年4月24日に報じたもので、CVSSが捕捉できない5つの障害クラスと、それぞれに対応する具体的な対策を提示しています。
最も深刻な問題は、複数のCVEを連鎖させる攻撃への対応です。2024年11月の「Operation Lunar Peek」では、Palo Alto Networksの認証バイパス(CVE-2024-0012、スコア9.3)と権限昇格(CVE-2024-9474、スコア6.9)が組み合わされ、1万3,000台以上の管理インターフェースが侵害されました。個別スコアでは権限昇格側がパッチ基準を下回り、対応が後回しにされたのです。Meyers氏は「チームは各CVEを独立に評価し、30秒前の判断を忘れたかのように振る舞った」と指摘しています。
国家支援型の脅威も見逃されています。CrowdStrikeの2026年グローバル脅威レポートによれば、ゼロデイとして悪用される脆弱性は前年比42%増加し、侵入後の横展開までの平均時間はわずか29分、最速で27秒でした。Salt Typhoonは2023年10月にパッチが公開されたCisco製品のCVE2件を14カ月後にも悪用し、米国政府高官の通信にアクセスしました。CVSSにはパッチ未適用期間の長さに応じてリスクを引き上げる仕組みがありません。
さらに、ヘルプデスクへのソーシャルエンジニアリングで1億ドル超の損害が発生した事例のように、ID・認証プロセスの脆弱性はCVEが割り当てられずスコアリング対象外です。エージェント型AIシステムが独自のAPI認証情報を持つ時代において、この盲点は拡大する一方だとEnkrypt AIのCSO Merritt Baer氏は警告しています。
AI技術が脆弱性発見を加速させている点も大きな課題です。AnthropicのClaude Mythos Previewは2万ドル未満の計算コストでOpenBSDの27年間潜伏したバグを発見しました。2025年のCVE開示数は4万8,185件で前年比20.6%増、2026年は7万件超が見込まれ、Meyers氏はAIによる10倍増で年間48万件に達する可能性にも言及しています。NISTは4月15日、NVDのエンリッチメントをKEVと連邦重要ソフトウェアに限定すると発表しました。
こうした状況を受け、CrowdStrikeはAccenture、EY、IBM、Kroll、OpenAIとともに修復連合「Project QuiltWorks」を発足させました。記事では、KEVパッチSLAの72時間への短縮、連鎖CVEの監査、KEV未対応期間の取締役会報告、ID脆弱性の統合管理、パイプラインの1.5倍・10倍負荷テストという5つのアクションプランを提言しています。