サイバーセキュリティ脆弱性トレンドのインタラクティブエクスプローラー

Epoch AIは、2020年以降のソフトウェアおよびハードウェアの脆弱性（CVE）の傾向を可視化するインタラクティブなデータエクスプローラーを公開しました。このツールは、脆弱性の件数の経時変化だけでなく、報告組織（CNA）ごとの内訳も表示し、各エンティティの脆弱性開示における役割を理解するのに役立ちます。

データソースと処理：すべてのCVEレコードはCVEプログラムのcvelistV5リポジトリから取得され、2020年以降の全公開レコードを対象としています。可視化における日付は発見日ではなく公開日を示します。深刻度の評価は共通脆弱性評価システム（CVSS）に基づき、攻撃の複雑さ、必要な権限、脆弱性の影響範囲などの要素から0～10のスコアを算出し、なし（0.0）、低（0.1-3.9）、中（4.0-6.9）、高（7.0-8.9）、深刻（9.0-10.0）の5段階に分類します。ツールはデフォルトでCNA自身の評価を優先し、不足分は第三者（ADP）の評価で補完します。複数のCVSSバージョンがある場合はv4.0を優先し、順にv3.1、v3.0にフォールバックします。これらのCVSSスコアがないレコードは「不明」としてカウントされます。

報告組織（CNA）：各CVEレコードはCNA（CVE発行機関）によって割り当てられます。CNAは通常、影響を受ける製品のベンダーまたは第三者セキュリティ研究機関です。ツールは全CNAのレポートを集計しますが、注目すべきCNAのみ個別にカウントし、それ以外は「その他」に分類します。注目すべきCNAの定義は、広く展開されているソフトウェアまたはハードウェアのベンダー、または主要なオープンソースプロジェクトや財団であり、かつ活発なCVEプログラムを維持していること（2020年以降少なくとも50件のCVEを公開）です。リストには17の主要ベンダー（Microsoft、Google、Apple、Adobe、Oracle、Cisco、IBM、Red Hat、Intel、AMD、NVIDIA、Qualcomm、Samsung、SAP、Amazon AWS、VMware、GitHub）と4つのオープンソースプロジェクト（Linux、Mozilla、Apache、OpenSSL）が含まれます。各組織の報告慣行は大きく異なり、例えばLinuxは2024年2月にCNAとなった後、数千のバックポートされたバグ修正にCVEを割り当て始めたため、2024年と2025年に報告数が急増しました。

最近の傾向とAIの影響：ツールはClaude Mythosプレビューの発表日（2026年4月7日）をマークしており、この日を境に脆弱性報告数が大幅に増加しました。Anthropicは、Claude Mythosが自律的に脆弱性を発見できると主張し、ソフトウェアを強化するために事前に信頼できるパートナーにアクセスを提供していました。2026年5月22日現在、Mythosプレビューは1万件以上の高または深刻な脆弱性を特定するために使用されました（すべてが公開されたわけではありません）。また、OpenAIはGPT-5.5（2026年4月23日リリース）とGPT-5.5-cyber（2026年5月7日リリース）も高度なサイバーセキュリティタスクが可能であると主張し、2026年5月7日に同様の信頼できるパートナープログラムを開始しました。これらのAIによる脆弱性発見ツールが、最近の報告急増の主な要因と考えられています。

アクセスとデータ：ユーザーはオンラインのエクスプローラーで集計データを確認できるほか、完全なデータセットをダウンロードすることも可能です。すべてのデータはCreative Commons Attributionライセンスの下で無料で利用できます。