ゼロデイ悪用、企業へのヒット速度と影響が加速

Googleは昨年、ゼロデイとして悪用された脆弱性90件を追跡していますが、中国のサイバー諜報グループは2024年比2倍に増加し、商用監視ベンダーが初めて国家支援ハッカーを上回りました。記録されたゼロデイのほぼ半数は、セキュリティアプライアンス、VPN、ネットワークデバイス、エンタープライズソフトウェアプラットフォームなどのエンタープライズテクノロジーをターゲットにしていました。

「セキュリティおよびネットワークデバイスの悪用の増加は、信頼されるエッジインフラストラクチャがもたらす重大なリスクを強調しており、エンタープライズソフトウェアのターゲット化は、ネットワークとデータ資産全体に特権アクセスを提供する高度に相互接続されたプラットフォームの価値を示しています」とGoogle脅威インテリジェンスグループ（GTIG）は年次ゼロデイレビューレポートで述べました。

これは、ここ数年で加速した攻撃者の初期アクセスパターンの変化が継続していることを示しています。エンタープライズソフトウェアは2024年のすべてのゼロデイの44%を占め、昨年は48%でした。

中国関連グループは、2025年に国家支援脅威アクターに帰属する16件のゼロデイのうち少なくとも10件の責任者であり、これは2024年に帰属された数の2倍です。これにより、中国は過去10年間のゼロデイ悪用の最も生産的なユーザーとして地位を保っています。

しかし、商用監視ベンダー（CSV）もゼロデイ悪用の増加する情報源です。CSVは、独裁体制を含む世界中の法執行機関と情報機関にその製品を販売し、活動家を弾圧するために使用されます。CSVは、その顧客に発見したゼロデイを提供して、ターゲットのモバイル電話とコンピュータへのスパイウェアの展開を容易にします。

防御者は対応時間の短縮に直面

脆弱性の悪用は、Googleのマンディアント部門が実施するインシデント対応調査で、盗難された認証情報とフィッシングに先んじて初期アクセスの最上位の方法のままです。昨年のゼロデイのほぼ半数がエンタープライズインフラストラクチャにヒットしているため、数時間でも修正を遅延させる組織は増加するリスクに直面しています。

エクスプロイトコードがグループ間で広がる速度も加速していると、GTIGは警告しています。歴史的には、ゼロデイエクスプロイトは最もリソースが豊富なチームに厳密に保持されていましたが、中国関連グループの増加数が同じ脆弱性を今利用していることから、エクスプロイトの共有または共同開発が増加していることが示唆されています。

このパターンはN-day脆弱性に拡張され、GTIGは公開開示と複数グループによる広範な悪用の間のギャップが縮小していることを観察しました。脆弱性インテリジェンス企業VulnCheckのデータでは、昨年悪用されることが判明している884の脆弱性のほぼ3分の1が、公開されたその日またはその前の日に攻撃されていることが示されており、これは2024年の約4分の1からの増加です。

「2025年に開示された脆弱性の1%未満しか悪用されていませんが、悪用されたものはより高速に移動し、より多くのヒットを記録し、防御者が対応する機会さえ与える前にそうした傾向が見られました」とVulnCheck CTOのJacob Bainesは述べました。

GTIGの研究者は、今年AIがこれらのタイムラインをさらに圧縮すると予想しており、敵対者はそれを使用して偵察、脆弱性発見、エクスプロイト開発を加速させています。「防御者は、万が一ではなく、侵害が発生する時点で準備すべき」と研究者は警告しました。

企業環境が包囲下にある

中国の脅威アクターは、監視が困難で戦略的ネットワークへの永続的なアクセスを可能にするターゲットに対する選好を引き続き示していました。注目すべき例には、GTIGが追跡しているグループUNC5221がIvanti Connect Secure（CVE-2025-0282）の欠陥を悪用し、UNC3886がJuniperルーター（CVE-2025-21590）の脆弱性を悪用したことが含まれます。

UNC6201として追跡されている別の中国グループは、BRICKSTORMおよびGRIMBOLTバックドアで知られています。技術企業のソースコードと専有開発文書などの知的財産をターゲットにしていることで目立っていました。こうした資産は被害者の製品の新しい脆弱性を発見するために使用される可能性があり、下流の顧客に対するリスクをもたらします。

セキュリティおよびネットワーク製品は、2025年の企業ターゲット43件のゼロデイのうち21件を占め、少なくとも14件がルーター、スイッチ、セキュリティアプライアンスなどのエッジデバイスをターゲットにしていました。これらのデバイスは通常、エンドポイント検出機能がないため、侵害は検出されないまま放置されます。

「入力検証の欠如と不完全な認可プロセスは、これらの製品内の一般的な欠陥であり、基本的なシステムの失敗が引き続き存在していますが、適切な実装基準とアプローチで修正可能な方法を示しています」とGTIGの研究者は書きました。

金銭目的の脅威グループ（ランサムウェアギャングを含む）もエンタープライズテクノロジーをターゲットにしており、2025年は9件のゼロデイを占め、これは2024年に帰属された5件の2倍です。

CL0Pランサムウェアの背後にあるグループFIN11は、昨年Oracle E-Business Suiteの2つのゼロデイ欠陥をターゲットにしました（CVE-2025-61882およびCVE-2025-61884）。Medusaランサムウェアに関連するグループStorm-1175は、GoAnywhere MFTの脆弱性を悪用しました（CVE-2025-10035）。

一方、Evil Corpの公開報告と重複する金銭目的のロシアグループUNC2165は、ゼロデイWinRAR脆弱性（CVE-2025-8088）を使用しました。同じ脆弱性は、金銭目的と諜報活動の両方を行うUNC4895またはRomComとして追跡されている別のロシアグループによって悪用されました。

VulnCheckのデータによると、2025年のランサムウェア攻撃にリンクされた39のCVEの50%以上がゼロデイとして悪用され、約3分の1は2026年1月現在公開または商用エクスプロイトコードを持っていません。これらのグループが独自のエクスプロイトを開発し、非公開に保持していることが示唆されています。

スパイウェアベンダーが初めて国家支援ハッカーを上回る

GTIGがゼロデイ悪用の追跡を開始して以来初めて、商用監視ベンダーは従来の国家支援スパイ活動グループより多くの帰属ゼロデイを保有していました。この達成は、研究者が過去数年間に観察したと述べた段階的なシフトを反映しています。

CSVはモバイルデバイスとブラウザーへのフォーカスを維持し、プラットフォームベンダーが時間とともに導入してきたセキュリティ改善をバイパスするようにエクスプロイトチェーンを適応させています。2025年に発見された複数のエクスプロイトチェーンでは、モバイルデバイスで単一の目的を達成するために3つ以上のチェーンされた脆弱性が必要でした。これは、プラットフォームの強化が悪用のコストを増加させているが、それを停止していないことを示しています。

オペレーティングシステムの脆弱性は39件のゼロデイを占め、15件がモバイルOSに影響を与えていました。ブラウザーは10%未満に低下し、これはGTIGが強化努力に起因すると述べた歴史的な低さですが、研究者は、グループが脆弱性をバイパスし、一部のエクスプロイトが見落とされている可能性があることを指摘しました。

Microsoftは最もターゲットにされたベンダーで、その製品全体で25件のゼロデイが悪用され、次にGoogleが11件、Appleが8件、CiscoとFortinetが各4件でした。20社のベンダーが各1件のゼロデイにヒットされており、攻撃者がエンタープライズソフトウェアランドスケープ全体でいかに広くネットをキャストしているかを示しています。

ゼロデイ悪用に備える

「優先順位付けは、限られたリソースが実装されるソリューションを決定することを必要とするため、ほとんどの組織の継続的な困難です。リソースを配置する場所のすべての選択について、異なるセキュリティニーズが無視されます」とGTIGの研究者は述べました。「脅威と攻撃面を知ることで、システムとインフラストラクチャの防御を最良にするための決定を優先順位付けするができます。」

推奨事項には、ファイアウォール、VPN、DMZインフラストラクチャをコアネットワーク資産とドメインコントローラーから分離して、境界デバイスが侵害された場合の横方向の移動を制限することが含まれます。

企業はまた、システムプロセスのベースラインを確立して、ランディング・オブ・ザ・ランド活動にフラグを立てることを勧められており、横方向の移動を検出するためにカナリアトークンを展開することも推奨されています。システムをライブラリの爆発半径が難しく測定される場所に影響するときに識別する新しいゼロデイが開示されたときに、特にどのシステムが影響を受けるかを識別するためにソフトウェア部品表を保持することも推奨されます。

セキュリティリーダーはまた、重大な脆弱性が即座に対応を必要とするとき、標準的な変更管理をバイパスできる緊急パッチ処理プロセスを定義する必要があります。パッチが利用可能でない場合、セキュリティチームは特定のサービスを無効にするか、周辺のポートをブロックするなどのストップギャップ対策で影響を受けたシステムとコンポーネントを隔離する必要があります。

GTIGは、組織がリアルタイムのアセットインベントリを維持し、後付けされるのではなく、構築に組み込まれたセグメンテーションと最小権限アクセスを備えたシステムアーキテクチャを設計することを促しています。