【2025年】ゼロデイ攻撃の事例

2025年は、従来型のマルウェア感染やフィッシング被害にとどまらず、ゼロデイ脆弱性を悪用した高度なサイバー攻撃が世界中で多数確認された年として記録されました。ゼロデイとは、ソフトウェア開発元が脆弱性を認識・修正する前に攻撃者が先に悪用する事象であり、ほんの短時間で甚大な被害をもたらす危険性があります。

本稿では、2025年に確認された主要なゼロデイ攻撃や関連する重大なサイバー侵害を、事実ベースで整理して解説します。対象となったのは、自治体や企業、業務基盤となるメール・ERP・インフラ製品など、社会的に重要なシステムが含まれています。

TOKAIコミュニケーションズのメールサービス侵害-Cisco製品へのゼロデイ攻撃

2025年12月、TOKAIコミュニケーションズが提供する法人向けメールサービス「OneOffice Mail Solution」について、不正アクセスが確認されたと発表されました。この侵害は、同社のメール関連機器に対して外部からアクセスされたもので、最大で3,569,937通に及ぶ隔離メール（スパム保管領域）への不正アクセス痕跡が見つかったとされています。

侵害対象となったのは、スパムメールを隔離する「OneOffice SPAM Filtering」サーバと、認証情報を管理するLDAPサーバです。いずれも共通していたのは、

セキュリティ製品として企業ネットワーク内に設置されていたCisco系機器である点です。

調査では、バックエンドのCisco Secure Email GatewayおよびSecure Email and Web Managerとされる製品の脆弱性、具体的にはCisco AsyncOSに関するゼロデイ脆弱性（CVE-2025-20393）の悪用が強く疑われています。

この侵害の特徴は、侵入後に複数の情報系統が並行して影響を受ける可能性がある点です。隔離されていたメールには、スパム判定されたとはいえ企業の取引情報や個人情報、見積書・請求書などの業務情報が含まれているケースもあり得ることから、実際の被害範囲を特定するには時間を要する状況です。

また、関連して静岡県内の自治体でも同種の不正アクセスが確認され、県職員や市町村担当者のメールアドレスが漏洩した可能性が公表されました。これはTOKAIコミュニケーションズのメール製品を利用する複数の自治体で同様の侵害痕跡が見られたことが発端です。

重要なのは、現時点で「確実なデータ漏洩の証拠」を示す段階にはないものの、侵害の痕跡が確認されているため、フィッシングやスパム送付、新たな侵害活動に悪用されるリスクが高い点です。利用者側には、対象サービスを名乗る不審メールに注意するよう強い警戒が呼びかけられています。

IIJとActive! mail6を巡るゼロデイ攻撃事例

2025年、日本国内のサイバーセキュリティ分野で特に大きな衝撃を与えたのが、IIJ（インターネットイニシアティブ）とActive! mail6を巡る一連のゼロデイ攻撃事例です。これらは単独の製品脆弱性にとどまらず、国内のメールインフラ全体に連鎖的な影響を及ぼす可能性があった点で、極めて重要なケースと位置づけられます。

Active! mailは、官公庁、自治体、教育機関、企業で広く利用されている国産メールソフトであり、その中核を担うActive! mail6において、2025年に深刻な未公開脆弱性が存在する可能性が指摘されました。特に問題視されたのは、外部から細工されたリクエストを送信することで、認証を経ずに内部処理に影響を与える恐れがある点で、条件次第では情報漏えいや不正操作につながるリスクがありました。

この脆弱性については、当初「実被害は確認されていない」とする公式説明がなされていましたが、同時期に発生したIIJのサイバー攻撃事案との関連性が注目されました。

IIJは2025年、同社が提供するメール関連サービスに対する不正アクセスを公表しており、その攻撃経路としてActive! mail6のゼロデイ脆弱性（CVE-2025-42599）が悪用された可能性が指摘されています。

IIJのケースでは、メールシステムという性質上、通信内容・アドレス情報・添付ファイルといった極めて機微な情報が集約されており、仮に侵害が成立していれば、その影響は単一企業にとどまらず、顧客や取引先、さらには行政サービス利用者にまで及ぶ恐れがありました。実際、調査過程では不審なアクセスの痕跡が確認され、影響範囲の特定や利用者への説明対応に相当な時間と労力が割かれています。

この一連の事例が示したのは、「国内で長年利用されてきた信頼性の高い製品であっても、ゼロデイ攻撃の対象になり得る」という厳しい現実です。さらに、メールという業務の根幹を支える基盤が狙われたことで、業務停止リスク、情報漏えいリスク、なりすましや二次攻撃の温床となる危険性が改めて認識されました。

Active! mail6およびIIJの事例は、ゼロデイ脆弱性が「海外製品や大規模プラットフォームだけの問題ではない」こと、そして国内インフラ事業者や国産ソフトウェアも同様に高度な攻撃の標的となっていることを、2025年に明確に示した象徴的なケースと言えます。

Oracle EBS（ERP）を狙うゼロデイ攻撃とClopランサムウェアグループの活動

2025年中、Oracleの企業向けERPシステム「Oracle E-Business Suite（EBS）」に存在するゼロデイ脆弱性（CVE-2025-61882およびCVE-2025-61884）が悪用され、複数の企業が侵害された可能性が指摘されました。これらの脆弱性は、外部からの不正なリクエストを通じて認証を回避し、サーバー内部の機能にアクセスできる恐れがあるもので、攻撃者にとっては極めて価値の高い侵入口となりました。

Clopランサムウェアグループの犯行声明の概要

Clop ransomware group（Cl0p）は、データ暗号化よりも「データ窃取＋公開を用いた二重恐喝」を主軸とするサイバー犯罪グループです。2025年にかけて同グループが発表した犯行声明では、一貫して以下のような主張が繰り返されています。

Clopは自らのダークウェブ上のリークサイト（通称「CL0P^_- LEAKS」）において、「特定の脆弱性を悪用して企業ネットワークに侵入し、重要データを取得した」と主張しています。2025年に関しては、特にOracle E-Business Suite（EBS）に存在した未修正・未公開の脆弱性（CVE-2025-61882、CVE-2025-61884）を通じた侵入を強調する声明が複数確認されました。

声明の中でClopは、

• 「我々は内部システムに直接アクセスした」

• 「バックアップではなく本番データを保持している」

• 「交渉に応じなければ段階的にデータを公開する」

といった表現を用い、被害企業に対して金銭支払いを迫っています。

Clopは犯行声明の中で企業名を列挙する手法を多用しており、実際に以下のような企業・組織が、被害を公表または侵害の可能性を認めた事例として報じられています。

Oracle EBS関連で名前が挙がった企業（2025年）

• サトー海外グループ
  Oracle EBSを利用していた海外拠点システムに対し、不正アクセスの可能性を公表。Clopがリークサイト上で名指しし、内部業務データを保有していると主張しました。

• マツダ（Mazda）
  北米関連会社がClopのリークサイトに掲載され、Oracle EBSの脆弱性を通じた侵入の可能性が報じられました。マツダ側は「業務や顧客への影響は確認されていない」と説明していますが、調査継続を公表しています。

• キヤノン（Canon）米国子会社
  Clopは犯行声明で米国拠点への侵入を主張。キヤノンは不正アクセスを認めつつも、顧客情報流出については「現時点で確認されていない」としています。

• その他、30社以上
  セキュリティ調査機関やリークサイトの記録によると、Clopは2025年時点でOracle EBS利用企業30社以上を標的としたと主張しており、製造業、物流、サービス業、IT関連企業が含まれています。

Clop(Cl0p)ランサムウェアグループはこれらの欠陥を足がかりに、暗号化よりも先に大規模なデータ窃取を行う「恐喝型」攻撃を展開したとみられています。実際に、被害が疑われる企業では、財務データ、人事情報、取引先情報など、ERP内部に蓄積された高機密データへのアクセス痕跡が確認されたとされています。

ERPは企業活動の中枢を担う存在であり、その侵害は単なるIT事故では済みません。会計処理の停止、給与計算や受発注業務への影響、監査対応の遅延など、経営全体に深刻な影響を及ぼします。

中国系ハッカーによるLanScopeへのゼロデイ攻撃

エムオーテックス（MOTEX）が提供する統合エンドポイント管理製品「LanScope」も、2025年に中国系ハッカーとみられる攻撃者によるゼロデイ攻撃の標的となりました。LanScopeは、端末の操作ログ取得、資産管理、セキュリティ監視などを担う製品であり、多くの企業や自治体の内部ネットワークに深く組み込まれています。

この製品に対するゼロデイ攻撃が成立した場合、攻撃者は管理サーバーを経由して多数の端末に間接的にアクセスできる可能性があります。つまり、通常であれば不審な通信として検知される操作も、「正規の管理操作」に偽装される恐れがあり、被害の発見が著しく遅れるリスクがありました。

実際の攻撃では、情報窃取や長期的な内部潜伏を目的とした活動が想定されており、単発のマルウェア感染とは異なる、国家支援型攻撃を思わせる特徴も指摘されています。

WinRARの脆弱性（CVE-2025-8088）による実際の悪用

圧縮・解凍ソフト「WinRAR」のゼロデイ脆弱性（CVE-2025-8088）は、理論上の欠陥にとどまらず、実際の攻撃で悪用されていたことが確認されています。WinRARは業務用PCから個人利用まで幅広く使われており、メール添付ファイルやダウンロードファイルの解凍時に自動処理されるケースも少なくありません。

この脆弱性を悪用した攻撃では、細工されたアーカイブファイルを開くだけで、利用者が意図しないコードが実行される可能性がありました。攻撃者は、請求書や業務資料を装ったファイルを送り付けることで、標的型攻撃を成立させていたとみられています。

Microsoft SharePointを狙ったゼロデイ攻撃

Microsoft SharePointのゼロデイ脆弱性を突いた攻撃により、米国の国家核安全保障機関（NNSA）が影響を受けた事例も報告されました。SharePointは、多くの組織で文書管理や内部ポータルとして利用されており、機密文書や内部連絡情報が集約されています。

この脆弱性を悪用されると、外部から不正にサーバーへ侵入され、保存されている文書や認証情報が窃取される恐れがありました。政府機関が被害を受けたことで、同様の構成を持つ民間企業や自治体への影響も強く懸念されました。

SharePointは「業務効率化のための基盤」として導入されている一方で、インターネット公開されているケースも多く、ゼロデイ攻撃の影響範囲が非常に広くなりがちです。この事例は、コラボレーション基盤が攻撃対象として高い価値を持つことを改めて示しました。

2025年のゼロデイ攻撃から得られる教訓

2025年の一連のゼロデイ攻撃事例から浮かび上がる最大の教訓は、「未知の脆弱性を突く攻撃は、想定よりも速く、広く、深く被害を拡大させる」という現実です。従来のように、脆弱性情報を待ってから対応する姿勢では、被害を防ぎきれない局面が明確になりました。

また、攻撃対象は必ずしも外部公開サーバーや有名製品に限らず、基幹システム、管理ツール、日常的に使われるソフトウェアにまで及んでいます。組織には、侵入を前提とした監視体制、異常挙動の早期検知、被害発生時の迅速な封じ込めが、これまで以上に求められています。。

関連記事

ワシントンポスト、Oracle EBSへのサイバー攻撃で9,720名の個人情報流出-ハッカー グループ Cl0p(Clop)が関与か ハーバード大学、Oracle E-Business Suiteのゼロデイ攻撃による情報漏洩の有無を調査-Clopがリーク予告 大韓航空、サイバー攻撃で従業員約3万人分の個人情報漏洩の恐れ-ランサムウェア グループClopが関与か Oracle EBSのサイバー攻撃 キャンペーン、Cl0p(Clop)が30社をリークサイトに掲載(CVE-2025-61882,CVE-2025-61884) キヤノン、ハッカー グループ Clop(Cl0p)が米国子会社へサイバー攻撃を行ったと発表-Oracle EBSの脆弱性を悪用か TOKAIコミュニケーションズ、法人向けメール製品へ不正アクセス 最大356万9,937通が情報漏洩の恐れ 【2025年】サイバー攻撃の事例 Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意 Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)