2025年のセキュリティを形作った5つの脅威

出典：Alamy Stock Photo（imageBROKER.com経由）

2025年のセキュリティは、大規模攻撃、政府機関の混乱、そして過去を想起させる危険な欠陥などにより、またしても慌ただしい一年となった。

今年を象徴する出来事は影響が大きかった一方で、年間を通じて比較的均等に散らばっていたようにも感じられた。2025年初頭には、中国と関係のある高度持続的脅威（APT）「Salt Typhoon」が、諜報活動の一環として通信事業者に対する攻勢を継続しているのが確認された。夏から秋にかけては、サイバーセキュリティ・インフラセキュリティ庁（CISA）が予算削減とレイオフに直面した。これは、トランプ大統領がいかなる犠牲を払ってでも米国政府をスリム化するという公約の余波だった。そしてつい先月、React2Shellが一般に公開された――CVSSスコア10のReactの脆弱性で、悪名高いLog4Shellを彷彿とさせるものだ。 

このリストには含めていないが、良い動きも起きている点にも触れておきたい。主要なランサムウェア統計（支払い率など）の多くは改善方向に向かっており、サイバー犯罪活動に対する国際的な法執行機関の連携テイクダウンも定期的に行われている。

今年のサイバー犯罪とセキュリティ全体はダイナミックで、ある面では過去を思わせ、別の面では今年特有の様相を呈した。ここでは、2025年のセキュリティを形作った5つの脅威を紹介する。

1. Salt Typhoonが猛攻を継続 

Salt Typhoonは中国政府支援の脅威アクターで、直近ではVerizon、AT&T、Lumen Technologiesなど複数の通信大手を標的にしたことでよく知られている――昨秋に発覚した攻撃では、裁判所の許可に基づく盗聴に警察が用いるシステムを狙っていた。このグループはOperator Pandaとしても知られ、洗練された手法を用いて標的に対する諜報活動を行い、長期的な攻撃に備えて事前に足場を築く。

Salt Typhoonの活動は大規模に継続している。7月には、このAPTが米国州兵を約1年にわたりハッキングしていたことが判明した。Viasatを含む通信大手は、Salt Typhoonによるものとされる侵害を確認している。そしてそれは、氷山の一角にすぎない。 

CrowdStrikeで対敵対者オペレーション責任者を務めるAdam Meyers氏は、Operator Pandaは、中国と関係のある脅威アクターが「長期的な持続性に焦点を当てた、高度に連携したクロスドメインのオペレーターへと進化している」例の一つだと述べる。

「Operator Pandaは他の多くの中国系の敵対者と同様に、ルーター、セキュリティ機器、VPN機器、その他ネットワーク層のシステムといったインターネット接続デバイスの脆弱性に依存しています。これらのデバイスは[EDR（エンドポイント検知・対応）]のような最新のセキュリティツールを実行しておらず、パッチ適用も遅れがちです」と同氏はDark Readingに語る。「組織には統合されたクロスドメインの可視性と能動的な脅威ハンティングが必要です。さもなければ、前例のない速度と持続性で動く敵対者に出し抜かれるリスクがあります。」

2. CISAで大規模レイオフと予算削減

CISAのレイオフは、間接的ではあるが別種の脅威を示している。

年の初めに、トランプ政権はサイバー安全性審査委員会（CSRB）の助言委員を全員解任した。CSRBは官民の専門家が運営し、その時々の大きな問題を調査して判断を下すための組織だ。CSRBは事実上閉鎖される形となり、その時点でSalt Typhoonに関する報告書に取り組んでいた。

これはトランプ第2期の初期に行われたサイバー分野の削減の一つだったが、最後ではなかった。CISAは年間を通じてレイオフと予算削減に直面した。背景には、DOGE流の「小さな政府」を志向するコミットメントが一部あった。別の要因として、トランプ氏と国土安全保障省（DHS）長官のクリスティ・ノーム氏が、同庁を「任務に立ち返らせ」、ノーム氏が「真実省」と呼んだものから遠ざけると誓ったことがある。

参考までに、トランプ氏は2020年、当時のCISA長官クリス・クレブス氏を解任した。クレブス氏が、トランプ氏の根拠のない選挙不正主張のさなかに、2020年大統領選を「米国史上最も安全な選挙」と呼んだためだ。 

CISAは、脆弱性に関するガイダンス、物理・サイバーのセキュリティ評価、選挙セキュリティ、インシデント対応支援など、組織向けに幅広いサービスを提供している。 

Bambenek Consultingの社長John Bambenek氏は、CISAの削減による当面の影響の多くは、州・地方政府レベル、ならびに商用の脅威インテリジェンス提供を利用できない組織で感じられていると述べる。 

「州や地方政府は自らサイバーセキュリティの負担を担うべきだ、という考え方があります。しかし、その負担を突然移すと、能力を間に合わせで構築するのが難しくなります」と同氏はメールで説明する。「率直に言って、国家はこれらの組織を標的にしています。人口1万人の町が、軍事基地の近くにあるかもしれない状況で、単独で諜報活動に対抗する立場に置かれるのは不公平に思えます。」

3. React2ShellはLog4Shellの再来を思わせる

React2Shellは、今月初めに公開された脆弱性CVE-2025-55182を指す。React Server Components（RSC）のオープンソースプロトコルに影響する。安全でないデシリアライズが原因で、この脆弱性は容易に悪用可能で極めて危険と見なされ、CVSSスコアは最大の10を獲得した。さらに悪いことに、Reactはかなり広く普及しており、公開時点ではクラウドプロバイダーの3分の1が脆弱だと考えられていた。 

この脆弱性がReact2Shellと名付けられたのは、2021年末にLog4j環境へ影響を与えた同様に危険なバグ「Log4Shell」への明確な言及だ。 

公開から数時間で悪用が始まり、公開PoC（概念実証）エクスプロイトも幅広く出回った。国家主体のアクターは最初期に脆弱性を悪用した勢力の一つだったが、数日以内に攻撃者の顔ぶれはあらゆる層に広がった。  

Rapid7のシニア・プリンシパル・リサーチャーであるStephen Fewer氏はDark Readingに対し、攻撃者にとってReact2Shellが魅力的なのは、世界中でReactアプリケーションが広く使われているためであり、「React自体が非常に人気なだけでなく、影響を受ける下流フレームワーク（Next.jsなど）も広く採用されている」からだと語る。

「影響を受けるドメインが50万件を超えるという公的な報告も見ています」とFewer氏は付け加える。「これは膨大な数であり、しかもこの数字は、公開インターネットに面した露出のみを表しています。内部ネットワークに展開された影響下のReactアプリケーションの規模は、完全には把握できません。」

4. Shai-Huludが自己増殖型オープンソースマルウェアの洪水を招く

9月、Shai-Huludとして知られる自己複製型マルウェアが出現した。これはオープンソースのソフトウェアコンポーネントに感染するインフォスティーラーで、ユーザーがワームに感染したパッケージをダウンロードすると、Shai-Huludはそのユーザーが保守する他のパッケージにも感染し、毒入りのバージョンを自動的に（攻撃者の直接的な関与がほとんどないまま）公開する。サイクルは続く。 

Palo Alto NetworksのUnit 42で脅威インテリジェンス研究のシニアマネージャーを務めるJustin Moore氏は、Shai-Huludの危険性は、防御側の自動化（つまりコンポーネントを使ってソフトウェアを構築すること）を逆手に取る点にあると説明する。企業の開発者が1つのパッケージをインストールするたびに、その構築に使われる他の数十のパッケージも暗黙に信頼していることになる、とMoore氏は言う。 

「Shai-Huludのような攻撃は、何千社もの企業が日々利用しているオープンソースの『井戸』を汚染することで、この依存関係を積極的に悪用します」とMoore氏は述べる。「これは重大な危険を生みます。脅威は単なる一般的な脆弱性ではなく、深くネストした多層依存関係だからです。これにより、単一の侵害がスタックの深部で起きるだけで、同時に何千社にも連鎖し得る、巨大で多層的な攻撃対象領域が生まれます。」

この種の攻撃の別バージョンは以前にも起きていたが、最初のShai-Hulud攻撃は導火線となり、後続の攻撃、GlassWormのような他の自己増殖型マルウェア、そして何より、多数の毒入りオープンソースソフトウェアパッケージへとつながった。これらの攻撃はあまりにも急速に蔓延したため、GitHubは将来この種のインシデントを抑止するための措置を講じると表明せざるを得なかった。 

5. 脅威キャンペーンがSalesforce顧客を標的に

今年初め、脅威アクターがSalesloftのGitHubアカウントを侵害し、そのアクセスを悪用してSalesloft DriftのSalesforce連携に関連するOAuthトークンを窃取した。これにより、数百のSalesforceインスタンスに対する下流の攻撃が発生した。 

Zscaler、Palo Alto Networks、Proofpoint、Cloudflare、Tenableなどが、このキャンペーンの広範な影響範囲に巻き込まれた。このインシデントは現時点で数カ月前から概ね完全に対処されているが、今年最も目立ったサプライチェーン・インシデントの一つとして記憶に新しい。 

これは、Salesforce顧客を狙う他の脅威キャンペーンとは独立して起きたもので、ShinyHuntersによる攻撃や、近接する別グループによる後続インシデントなども含まれる。 

Nudge Securityの共同創業者兼最高技術責任者（CTO）であるJaime Blasco氏は、Salesforceが脅威アクターにとって魅力的な標的である理由として、「高価値の業務データが存在する場所であり、とりわけSalesforceで管理されるサポートチケットを通じて顧客がベンダーと共有する必要がある認証情報が含まれる」点を挙げる。

「Salesforceを標的とするこれらの攻撃は、攻撃者がSaaSアプリケーションのエコシステムと、それらの間の統合（インテグレーション）を悪用しているという、より大きなテーマの一例にすぎません」とBlasco氏は説明する。「こうした統合は従来型のセキュリティ制御の監視網をすり抜けることが多く、魅力的な攻撃対象領域となっています。」