AIで脆弱性が増えた今、実際に悪用されているのは何か ── エッジ機器への集中と「速さ」の変化

概要

「AIで脆弱性の悪用が急増」という言説をCISA KEV・Verizon DBIR・Google GTIGなどの公開データで検証した記事。CVE件数の爆発的増加に対し、実際に悪用される脆弱性の「割合」は爆発していない。本当に変わったのは「速さ」と「偏り（エッジ機器への集中）」。

結論: 脆弱性悪用の実数は増えているが、全CVEに占める割合は爆発していない。変わったのは速さと偏り
エッジ機器への偏り: VPN・ファイアウォール・ゲートウェイが侵害入口として3%→22%（Verizon DBIR、約8倍増）
速さの変化: 悪用がCVE公開と同時か、それより前に来る割合が増加
「速くパッチ」では守れない理由: エッジ機器はEDRが載らないため、露出最小化と装置側の検知が必要
計測ツールの注意点:
- CVE件数は「発見」であり悪用ではない
- KEVは「観測・報告された」悪用の下限値であり暗数がある
- EPSSは予測であり実際の悪用記録ではない
2025年データ: VulnCheckが初めて悪用を確認したCVEは2025年で88件以上