Google、2025年のゼロデイ脆弱性の悪用は90件で高止まり2026年のAI利用の加速を示唆

セキュリティニュース

投稿日時: 更新日時:

Google、2025年のゼロデイ脆弱性の悪用は90件で高止まり2026年のAI利用の加速を示唆

Google Threat Intelligence Groupが公表した2025年のゼロデイ総括は、ゼロデイが減ったというより、高水準のまま定着しつつある現実を示しています。

Googleは2025年に実際の攻撃で悪用されたゼロデイを90件追跡したとしています。これは記録的だった2023年の100件よりは少ない一方で、2024年の78件は上回っています。過去4年で見ても、年間件数はおおむね60件から100件のレンジに収まっており、2025年もその範囲の中で高止まりしました。

2025年の最大の変化は企業向け製品が主戦場になったこと

今回のレポートで最も重要なのは、ゼロデイ悪用の重心がエンドユーザー製品から企業インフラ側へさらに傾いた点です。

Googleは2025年に43件、全体の48%が企業向け技術に影響したゼロデイだったとしています。件数でも割合でも過去最高で、2024年の36件、46%からさらに増えました。ほぼ2件に1件が企業向け製品を狙ったことになります。

この構造変化は偶然ではありません。

Googleは2024年にすでに企業向け悪用へのシフトを指摘していましたが、2025年はその流れがさらに明確になったと評価しています。攻撃者にとって企業向け製品は、権限が高く、社内資産への接続範囲が広く、侵害後の横展開もしやすいという利点があります。単一の脆弱性でも、認証基盤、ファイル共有、仮想化基盤、VPN、管理コンソールなどへ連鎖的に影響しやすいため、投資対効果が高いのです。

特にセキュリティ製品やネットワーク機器は、企業向けゼロデイ43件のうち約半数にあたる21件を占めました。防御の要であるはずの機器やアプライアンスが、逆に最も価値の高い侵入口になっているという構図です。そこには、入力検証不足や認可処理の不備といった、古典的でありながら根深い実装問題が残っています。新しい攻撃手法が目立つ一方で、根本原因は必ずしも新しくないという点も見逃せません。

エッジデバイスが狙われ続ける理由

Googleは、エッジデバイスが依然として高価値標的である理由をかなり明確に述べています。ルーター、スイッチ、ファイアウォール、VPN機器、各種セキュリティアプライアンスは、組織の境界や経路制御の中核に位置しており、侵害できれば外部から内部への橋頭堡として機能します。しかも多くのエッジデバイスには、一般的な端末ほどEDRが整備されておらず、侵害後の異常検知やホスト側の証跡保全が難しいという盲点があります。

Googleは2025年に14件のゼロデイがエッジ機器に影響していたと把握していますが、この数字自体が過小評価の可能性があると見ています。なぜなら、見つけにくい場所ほど、観測されにくいからです。ここに、企業側の見えないリスクがあります。端末やサーバーは監視していても、外周の機器や閉域寄りの管理機器、ベンダー保守経路が十分可視化されていない組織は少なくありません。攻撃者はその差を理解したうえで、まず最も見えにくい場所から入る傾向を強めています。

この点は、情シス部門の資産管理の考え方を変える必要性を示しています。台帳に載っているかどうかではなく、境界にあり、高権限で、広い接続性を持ち、監視が薄い資産をどう優先管理するかが問われています。

エンドユーザー製品ではOSが主役になった

企業向け製品へのシフトが進んだ一方で、エンドユーザー向け製品が重要でなくなったわけではありません。Googleによると、2025年に追跡されたゼロデイのうち47件、全体の52%はエンドユーザー向けプラットフォームや製品を狙っていました。そしてその中心にいたのがOSです。デスクトップとモバイルを合わせたOS関連のゼロデイは39件で、全体の44%を占めました。2024年は31件、2023年は33件だったため、2025年は件数でも比率でも増加しています。

OSが狙われるのは当然とも言えます。攻撃者にとってOSレベルの権限は、その端末上のあらゆる業務データ、認証情報、セッション、周辺プロセスへのアクセスにつながりやすいからです。ブラウザや単体アプリを突破した先で、最終的に目指す地点としてOSがある構図は変わっていません。とくにデスクトップOSは利用者数が多く、運用上のバラつきも大きいため、悪用価値は依然として高いです。

情シス部門としては、ブラウザやメールゲートウェイだけで防げる時代ではないと改めて認識すべきです。OSレベルのハードニング、権限分離、ドライバ制御、異常プロセス監視、ローカル権限昇格の検知など、より土台に近い対策が重要になります。

モバイルのゼロデイは再び増加した

2025年の特徴の一つが、モバイル関連ゼロデイの増加です。Googleは、2023年に17件、2024年に9件まで減ったモバイル向けゼロデイが、2025年には15件まで戻ったとしています。この数字だけを見ると、モバイルの防御強化が失敗したようにも見えますが、Googleの説明はもっと複雑です。

まず、ベンダー側の保護機構が進化した結果、攻撃者は単純な1本の脆弱性だけでは目標権限に届きにくくなっています。そのため、2025年には3件以上の脆弱性を連鎖させるエクスプロイトチェーンが複数見つかりました。これにより、1つの目的を達成するためにカウントされる脆弱性の数が増えています。また、これまではチェーンの一部しか発見されなかったケースでも、2025年はより完全な形で把握できたため、数字が増えた側面もあります。

さらに、攻撃者、特に商用監視ベンダーは、新しいセキュリティ境界の回避方法を見つけてきました。つまり、防御が強くなった結果として、攻撃は減るのではなく複雑化し、その複雑化を追跡できるようになったことで件数が再上昇したという面があります。モバイルは安全になったから見なくてよい領域ではなく、より見えにくく、より高度化した攻防の場に変わっていると理解すべきです。

ブラウザの減少は朗報だが、油断材料ではない

2021年から2022年にかけて、ブラウザはゼロデイ悪用の代表的な標的でした。ところが2025年は、ブラウザ由来のゼロデイが全体の1割未満まで落ち込んでいます。Googleはこれを、ブラウザハードニングが一定の成果を上げている証拠と見ています。サンドボックス強化、メモリ保護、権限境界の改善などが、攻撃者の自由度を狭めてきたわけです。

ただし、Googleは同時に、攻撃者側のオペレーショナルセキュリティが向上し、観測されにくくなった可能性にも触れています。つまり、ブラウザが以前より安全になっているのは事実でも、見えている件数の減少がそのまま脅威の消失を意味するわけではありません。むしろ、ブラウザ単体で完結しないOS依存やデバイス依存のサンドボックス脱出が増えていることから、攻撃はより深いレイヤーへ移っていると見るべきです。

この変化は防御側にとって重要です。ブラウザ更新の徹底は引き続き必要ですが、それだけで安心するのではなく、背後のOS、GPUドライバ、ランタイム、周辺サービスまで含めた多層防御が求められます。

ゼロデイ悪用の主役は国家だけではなくなった

今回のレポートで特に目を引くのが、ゼロデイ悪用の主体の変化です。Googleは、追跡開始以来初めて、伝統的な国家支援型サイバー諜報グループよりも、Commercial Surveillance Vendors、つまり商用監視ベンダーに多くのゼロデイ悪用を帰属したとしています。

この事実が意味するのは、ゼロデイ利用能力が一部の国家アクターだけのものではなくなっていることです。商用監視ベンダーは、高度なエクスプロイトやスパイウェア機能を開発し、複数の顧客へ提供できます。つまり、ゼロデイ悪用能力がサービス化され、より広い利用者層へ供給される構造が強まっているということです。Googleは、これが市民的自由や人権への侵害にもつながる重大な問題だと位置付けています。

一方で、国家支援型諜報グループが後退したわけではありません。特に中国系と評価されるグループは、2025年も最も活発でした。Googleは少なくとも10件のゼロデイ悪用を中国系諜報グループへ帰属しており、UNC5221やUNC3886のようなグループが、エッジ機器やネットワーク機器を中心に長期潜伏型の侵入を続けていたと説明しています。これらのグループは、監視しにくい機器を起点に、戦略的な標的へ深く入り込み続ける能力を示しています。

金銭目的のハッカーグループもゼロデイを継続利用している

金銭目的の脅威グループも、ゼロデイの世界で存在感を増しています。Googleは2025年に9件のゼロデイ悪用を、確認済みまたは可能性の高い金銭目的グループに帰属しました。これは2023年の10件にほぼ並ぶ水準で、2024年の5件を大きく上回ります。

この点で重要なのは、ゼロデイが国家諜報や監視用途だけでなく、恐喝やランサム系のビジネスモデルにも組み込まれていることです。Googleは、Oracle E-Business Suite顧客環境を狙ったCL0P系の恐喝キャンペーンや、UNC2165によるCVE-2025-8088の悪用などを例に挙げています。金銭目的の攻撃者は、より広い被害者母集団と収益化を重視するため、ゼロデイが一度使われると、被害の裾野が大きく広がる傾向があります。

これは企業にとって現実的な脅威です。国家標的でないから安心という時代ではなく、財務目的の攻撃者もゼロデイを調達・開発・再利用する前提で防御を考える必要があります。

2026年はAIが攻防のテンポをさらに上げる

Googleは2026年の見通しとして、AIが攻撃者と防御者の競争をさらに加速させると予測しています。攻撃者はAIを用いて偵察、脆弱性探索、エクスプロイト開発を速め、初期侵入までの時間を短縮するでしょう。その結果、防御側にはより短時間での検知と対応が求められます。

一方で、防御側にもAIの追い風があります。エージェント型AIや支援ツールを用いれば、未知の欠陥の発見、パッチ適用判断、挙動分析、優先順位付けなどを高速化できます。つまり、AIは一方的に攻撃者を有利にするものではなく、攻防双方のサイクルを速くする要因です。ただし、速度競争に入る以上、もともとの運用基盤が遅い組織はさらに不利になります。台帳が曖昧で、パッチの適用先が分からず、異常検知の確認に時間がかかるような環境では、AI時代の加速に耐えられません。

BRICKSTORMが示した新しい脅威

Googleが今回のレポートで示したもう一つの示唆が、BRICKSTORMに関連する侵入です。これは、単に顧客情報や業務データを盗むのではなく、ベンダー側の知的財産、ソースコード、開発文書を狙っていた可能性があるとされています。もしこれが事実なら、攻撃者は将来のゼロデイ発見能力そのものを高めるために侵入していたことになります。

これは非常に厄介な変化です。

従来の情報漏えいは、顧客情報、営業情報、財務情報など直接価値のあるデータが主な対象でした。しかし、開発資産や設計文書が盗まれると、その先で脆弱性探索やエクスプロイト開発の効率を高め、被害が下流顧客へ広がる恐れがあります。ソフトウェアベンダーや開発会社だけでなく、内製システムを多く抱える企業も、知財とセキュリティを分けて考えないほうがよい局面に入っています。

情シス部門が優先すべき現実的な対策

Googleは、防御策としていくつかの基本原則を改めて示しています。まず企業インフラでは、DMZ、ファイアウォール、VPNをコア資産やドメインコントローラーから分離し、外部境界の侵害がそのまま横展開につながらない構造を作ることです。次に、不要なポートを外部へ公開しないこと、アプリケーション内部で不正なDBクエリやシェル実行を監視すること、資産台帳を常に最新化することが挙げられています。

さらに重要なのが、継続監視と異常検知です。ゼロデイは防ぎ切れない前提で、発生後に早く気付く体制が必要です。システムプロセスの基準線を持ち、Living off the Land型の不自然な挙動を把握できるようにし、カナリアファイルやカナリアトークンのような高精度検知も使うべきだとGoogleは勧めています。加えて、緊急時には通常の変更管理を迂回して迅速に隔離や設定変更ができる運用も必要です。

出典

Look What You Made Us Patch: 2025 Zero-Days in Review