あなたたちにさせたパッチを見よ：2025年のゼロデイの総括

著者：Casey Charrier、James Sadowski、Zander Work、Clement Lecigne、Benoît Sevens、Fred Plan

エグゼクティブ・サマリー

Google脅威インテリジェンスグループ(GTIG)は、2025年に野生地帯で悪用された90のゼロデイ脆弱性を追跡しました。このゼロデイの量は2023年に観測されたレコード高の100より低いですが、2024年の78よりは高く、過去4年間にわたって確立された60～100の範囲内にとどまり、これらのレベルでの安定化の傾向を示しています。

2025年、われわれは2024年に初めて認識された構造的シフトを継続して観察しました。これはエンタープライズ悪用への増加傾向です。エンタープライズテクノロジーに影響を与える脆弱性の生数（43）と割合（48%）の両方が過去最高に達し、2025年に悪用されたゼロデイの総数の約50%を占めています。われわれは検出されたブラウザベースの悪用の持続的な減少を観察しました。これは歴史的な低水準に低下した一方で、オペレーティングシステム脆弱性の悪用の増加が見られました。

国家後援のスパイ活動グループは、被害者ネットワークへの主要な入口点として引き続きエッジデバイスと検安装置を優先順位付けしており、これらのグループによる帰属されたゼロデイ悪用のわずかに半分以上がこれらのテクノロジーに焦点を当てています。商用監視ベンダー(CSV)は携帯電話とブラウザの悪用に関心を保持し、より最近実装されたセキュリティ境界と他の携帯電話セキュリティ改善をバイパスするために彼らのエクスプロイトチェーンを適応・拡張しました。BRICKSTORMマルウェア配置にリンクされた複数の侵入は、目的の範囲を示しましたが、テクノロジー企業のターゲットは、ゼロデイエクスプロイトの開発をさらに進めるための貴重なIPの盗難の可能性を示しました。

重要なポイント

複雑さはより多くの携帯電話脆弱性カウントを駆動します。携帯電話ゼロデイ発見数は過去3年間で変動し、2023年の17から2024年の9に低下してから、2025年に15に反発しました。ベンダー緩和措置が進化し、ますます単純な悪用をより多く防止するにつれて、脅威アクターは彼らの技術を拡大または調整することを余儀なくされています。場合によっては、攻撃者は高く保護されたコンポーネント内での必要なアクセスレベルに到達するために、チェーンされた脆弱性の数を増やしています。逆に、脅威アクターは、アプリケーションやサービスなどの単一機能内での低レベルのアクセスをターゲットにすることで、より少ないか単数のバグで成功した悪用を達成しました。
エンタープライズソフトウェアとエッジデバイスは依然として主要なターゲットです。新しい高水準を示す2025年のゼロデイの48%がエンタープライズグレードのテクノロジーをターゲットにしました。セキュリティおよびネットワーキングデバイスの悪用の増加は、信頼されたエッジインフラストラクチャがもたらす可能性のある重大なリスクを強調しています。一方、エンタープライズソフトウェアのターゲットは、ネットワークとデータアセット全体で権限付きアクセスを提供する高度に相互接続されたプラットフォームの価値を示しています。ネットワークおよびセキュリティアプライアンスは、初期アクセスを得るために、様々な脅威アクターによって引き続き高度にターゲットにされ続けました。
商用監視ベンダー(CSV)はゼロデイアクセスへのバリアを更に低減します。ゼロデイ悪用を追跡し始めて以来初めて、われわれはCSVに従来の国家後援サイバースパイグループよりも多くのゼロデイを帰属させました。これは、これらのベンダーを通じたゼロデイ悪用へのアクセスの拡大が以前よりも幅広い顧客配列に及んでいることを示しています。
中華人民共和国(PRC)関連のサイバースパイグループは従来の国家後援スパイ悪用を継続して支配しています。ほぼ10年間にわたって観察された傾向と一致して、他の国家スポンサーと比較して、PRC関連グループは2025年にゼロデイ脆弱性の最も多産なユーザーのままでした。UNC5221やUNC3886などのこれらのグループは、戦略的ターゲットへの永続的なアクセスを維持するためにセキュリティアプライアンスとエッジデバイスに引き続き大きく焦点を当てました。
財政的に動機付けられた脅威グループによるゼロデイ悪用は以前の高値に並びます。2025年、われわれは確認された、または可能性の高い財政的に動機付けられた脅威グループによる9つのゼロデイの悪用を帰属させました。これはほぼ2023年の総量に等しく、2025年の帰属されたすべての脆弱性の割合が高いことを表しています。

2026年ゼロデイ予測

ターゲットと技術は引き続き拡大しています

特定のベンダーがブラウザと携帯電話の空間での脆弱性悪用をより困難にした改善を引き続き駆動するにつれて、対敵はより拡張的な技術と多様なターゲットを使用して適応し続けるでしょう。エンタープライズ悪用はインフラストラクチャ全体で使用されるアプリケーションの幅によってさらに有効になるでしょう。ソフトウェア、デバイス、およびアプリケーションの数の増加は攻撃表面を拡大し、成功した悪用は侵害を達成するための単一障害点のみを必要とします。

AIはゲームを変えます

われわれは、AIが2026年の攻撃者と防御者間の進行中のレースを加速させ、より動的な脅威環境を作成すると予想します。われわれは対敵がAIを利用して、偵察、脆弱性発見、およびエクスプロイト開発を加速することで攻撃を自動化およびスケール化するだろうと予想します。これらの段階に必要な時間を削減することで、ゼロデイ悪用を検出および対応することが、防御者に対してさらなるプレッシャーをかけるでしょう。同時に、AIは防御者がエージェンティックソリューションなどのツールを活用して、セキュリティオペレーションを強化することを可能にするでしょう。AIエージェントは事前に不明なセキュリティ欠陥を検出し、パッチを適用するのを支援し、ベンダーが悪用される前に脆弱性を中和することを可能にします。

研究のためのアクセスを使用する

A 2025年のBRICKSTORMマルウェアキャンペーン（PRC関連スパイ活動オペレーターに帰属）は、ゼロデイ悪用の新しいパラダイムを示唆する可能性があり、データ盗難は長期的なゼロデイ開発を可能にする可能性があります。単に機密クライアントデータを流出させるのではなく、脅威アクターは被害者企業からの知的財産（ソースコードと所有開発ドキュメントを含む可能性がある）をターゲットにしました。このIPはベンダーのソフトウェアで新しい脆弱性を発見するために使用できる可能性があり、被害者自身だけでなく被害者のダウンストリーム顧客にも脅威をもたらします。

スコープ

このレポートはGoogle脅威インテリジェンスグループ(GTIG)が2025年のゼロデイ悪用について知っていることについて説明しています。GTIGは、ゼロデイを、パッチが公開される前に野生地帯で悪用された脆弱性として定義しています。以下の分析は、GTIGによって実施された元の調査と信頼できるオープンソースレポートを活用していますが、すべてのソースのレポートを独立して確認することはできません。

この分野の研究は動的であり、過去の事件の継続的な発見により数字が調整される可能性があります。われわれの分析はGTIGによって追跡された悪用を表していますが、すべてのゼロデイ悪用を反映していない可能性があります。ここで提示される数字は、現在のデータについてのわれわれの最高の理解を反映しており、われわれの2025年データセットに含まれるすべてのゼロデイにパッチが利用可能なことを注記します。GTIGは、このレポートで観察され議論されたトレンドが検出および公開されたゼロデイに基づいており、2025年12月31日のカットオフ日付を有することを認めます。

数値分析

https://storage.googleapis.com/gweb-cloudblog-publish/images/zero-day-2025-fig1a.max-1700x1700.jpg

図1：年別ゼロデイ

GTIGは、2025年に開示され、ゼロデイとして悪用された90の脆弱性を追跡しました。この数字は、過去5年間にわたって観察された統合上昇傾向と一致しています。年間のゼロデイの総量は、この期間にわたって60～100の範囲内で変動していますが、2021年前のレベルと比較して上昇したままです。悪用のある種のカテゴリーがベンダー緩和またはより新しい高価値の機会により時間とともに変わるにつれて、ゼロデイ数のカウントは、劇的な全体的な減少または増加を見ることではなく、期待される範囲内に見え続けます。

エンタープライズ悪用が2025年さらに拡大

https://storage.googleapis.com/gweb-cloudblog-publish/images/zero-day-2025-fig2a.max-1700x1700.jpg

図2：2025年のエンドユーザーとエンタープライズ製品におけるゼロデイ

エンタープライズテクノロジー

2025年のエンタープライズソフトウェアおよびアプライアンスで43（48%）のゼロデイを識別しました。これは2024年の36（46%）から増加しています。この一貫性のある割合は、エンタープライズインフラストラクチャへのシフトが脅威環境の構造的変化であることを強調し、権限昇格、高レベルのアクセス、および広い影響範囲を可能にするツールの価値を反映しています。

セキュリティ＆ネットワーキング：これらの脆弱性は2025年の企業関連ゼロデイのおよそ半分（21）を構成し、権限付きインフラストラクチャコンポーネントを通じたコード実行と不正アクセスを達成するための著名なターゲットのままです。入力検証の欠如と不完全な認可プロセスは、これらの製品での一般的な欠陥であり、基本的なシステム的な障害が継続する方法を示していますが、適切な実装基準とアプローチで修正可能です。エッジデバイス（多くの場合、セキュリティおよびネットワーキングデバイスを含む）は組織のインフラストラクチャの周辺に位置し、高価値ターゲットのままです。ルーター、スイッチ、セキュリティアプライアンスなどのほとんどのエッジデバイスにEDRテクノロジーが存在しないことは、防御者の盲点を作成でき、理想的な攻撃表面にします。この制限により、これらのデバイスが侵害されると異常を検出したり、ホストベースの証拠を収集したりする能力を妨げることができます。2025年に識別された14のゼロデイがエッジデバイスに影響を与えるのに対し、この数字は検出機能の阻害により実際の活動のスケールを過小表示している可能性が高いです。
エンタープライズソフトウェア：エンタープライズツールと仮想化技術の高プロファイル悪用は、攻撃者が重要なビジネスインフラストラクチャに深く自らを埋め込んでいることを示しています。脅威アクターは、インフラストラクチャの特定の領域または製品内に存在する可能性のある緩和措置を回避するために、最も脆弱で公開されたアセットを追求し続けています。

エンドユーザープラットフォームと製品

2025年、追跡されたゼロデイの52%（47）はエンドユーザープラットフォームと製品を悪用するために使用されました。

オペレーティングシステム(OS)：デスクトップと携帯電話の両方を含むOSは、2025年で最も悪用された製品カテゴリーであり、すべてのゼロデイの44%（39）を占めています。これは以前の年と比べた上昇です。生数（2024年の31、2023年の33）と総ゼロデイ悪用の割合（2024年40%、2023年33%）の両方を比較しています。デスクトップOSゼロデイは、年間16～23の間で変動した一方で、段階的な上昇軌跡を保持しており、これらのプラットフォームの基礎的な役割とOS レベルの悪用により許可された大規模な効果の規模を説明しています。
携帯デバイス：特に携帯OSの悪用は顕著な増加を見ました。2024年に識別された9と比較して、2025年で合計15のゼロデイです。2023年に17の携帯電話関連ゼロデイを観察したことを考えると、次の要因がこの一時的な減少と後続の活動の復活に説明責任を持つ可能性があります：

2025年に発見された複数のエクスプロイトチェーンは3つ以上の脆弱性を含み、単一の目的を達成するために必要な個々の脆弱性の数を膨らまさせています。
脅威研究者は2025年により完全なエクスプロイトチェーンを発見しました。場合によっては部分的なチェーンまたは単一の脆弱性のみが識別されます。
脅威アクターおよびCSVは特に新規の技術を見つけて新しいセキュリティ境界実装をバイパスしました。

ブラウザ：ブラウザは2025年のゼロデイ悪用の10%未満を占めており、2021～2022年のブラウザに大きく依存した年から大きく減少しています。これはブラウザの堅牢化措置が機能していることを示唆しています。しかし、われわれはまた、攻撃者の運用上のセキュリティが改善されているため、その行動をより困難に観察・追跡するようになったため、この分野での観察された悪用の量を減らす可能性があると評価しています。

ベンダー別悪用

https://storage.googleapis.com/gweb-cloudblog-publish/images/zero-day-2025-fig3a.max-1700x1700.jpg

図3：2025年のベンダー別ゼロデイ悪用

2025年の悪用されたベンダーは去年観察されたのと同じパターンに従いました。大規模なテクノロジーが最もゼロデイ悪用を経験し、セキュリティベンダーが直後に続いています。大規模なテクノロジー企業は消費者製品のユーザー基盤を継続して支配し、特にデスクトップOS、ブラウザ、および携帯システムでの悪用のための主要なターゲットにします。CiscoとFortinetは引き続きネットワーキングおよびセキュリティベンダーの一般的にターゲットにされているままです。IvantiとVMwareは、脅威アクターがVPNと仮想化プラットフォームに置く高い価値を反映する悪用を見続けています。

われわれは、わずか1つのゼロデイで悪用された20のベンダーを観察しました。これはさらに脅威アクターが、希望するターゲットで成功した足がかりを見つけるために異なるベンダーと製品をターゲットにする成功を示しています。

悪用された脆弱性のタイプ

以前の年で観察されたように、ゼロデイ悪用は主にリモートコード実行を達成するために使用され、特権昇格を得ることに続きます。これらは、大規模なテクノロジーおよびセキュリティベンダーの観察された悪用で特に一般的でした。コード実行と不正アクセスの両方が、ネットワークおよびエッジインフラストラクチャ悪用の一般的な目標でした。高権限アセットの悪用がシステムとネットワーク全体の広い到達を可能にする利点を表示しました。

2025年は、構造的な設計欠陥と広がる実装の問題の配列を見ました。これは既知でありながら多産な問題の遍在性を例示しています。

インジェクション＆デシリアライゼーション：コマンドインジェクションとデシリアライゼーションは、エンタープライズ空間での重大なベクトルでした。これらのタイプの脆弱性は多くの場合、メモリ破損エクスプロイトの複雑さなしで、信頼できるリモートコード実行(RCE)を許可します。SQLおよびコマンドインジェクション脆弱性は、Web対向エンタープライズアプライアンスで一般的であり、初期アクセスのための初歩的な道を提供しました。
メモリ破損：脅威アクターはメモリ破損に頼り続けました。メモリ安全性の問題（特にuse-after-free[UAF]とout-of-bounds write）は約35%の脆弱性を占めています。UAF脆弱性はブラウザやOSカーネルのようなユーザー中心の製品のトップベクトルのままです。
アクセス制御：認証および認可バイパス脆弱性の流行は、エッジデバイスがネットワーク周辺と独自の管理インターフェースの両方を保護するのに直面する難しさを強調しています。
ロジックと設計欠陥：エンタープライズアプライアンスで頻繁に悪用される。これらの問題は、システムの意図されたロジックまたは設計が本質的に不安全な基本的な建築上の弱点を表しています。ソフトウェアが設計通りに動作しているため、これらの欠陥はベンダーにとって検出がより困難です。

誰が悪用を駆動しているのか

https://storage.googleapis.com/gweb-cloudblog-publish/images/zero-day-2025-fig4a.max-1700x1700.jpg

図4：2025年の帰属ゼロデイ悪用

商用監視ベンダー悪用の成長

ゼロデイ悪用を追跡し始めて以来初めて、われわれはCSVより従来の国家後援サイバースパイグループに多くの悪用を帰属させました。これらのアクターの運用上のセキュリティへの焦点の増加は検出を妨げる可能性が高いですが、ここ数年間に観察し始めたトレンドを継続して反映しています。ゼロデイ悪用の増加する割合はCSVおよび/または彼らの顧客により実施されており、景観の緩いですが確実な運動を示しています。歴史的に、従来の国家後援サイバースパイグループはゼロデイ脆弱性の最も多産な帰属されたユーザーでした。ここ数年、CSVおよびそれらの顧客に帰属するゼロデイ悪用の増加は、これらのベンダーがこれまでより広い範囲の脅威アクターにゼロデイアクセスを提供する能力の増加を示しています。

GTIGは広く報告しており、CSVが彼らのクライアントに提供する機能、ならびに多くのCSVクライアントが市民的自由と人権を侵食する攻撃においてゼロデイエクスプロイトをどのように使用しているかについて報告しています。2025年後半、われわれは報告しました。Intellexaは、ゼロデイの多産な調達者および使用者であり、その運用とツールスイートを適応させ、引き続き極めて能力の高いスパイウェアを高給の顧客に提供しています。

中華人民共和国(PRC)関連サイバースパイグループは依然として最も多産です

われわれが従来の国家後援サイバースパイグループに帰属した2025年ゼロデイ悪用の割合は前年よりも低かったですが、これらのグループは2025年の重大なゼロデイ開発者およびユーザーのままでした。ほぼ10年間にわたって観察された傾向と一致して、PRC関連サイバースパイグループは2025年国家アクター全体のゼロデイの最も多産なユーザーのままでした。われわれは、2024年に帰属された内容の2倍ですが、2023年に帰属された12のゼロデイより下の、少なくとも10のゼロデイの使用を評価されたPRC関連サイバースパイグループに帰属させました。PRC関連スパイ活動ゼロデイ悪用は、監視が困難で、戦略的ネットワークに長期的な足がかりを維持することを許可するエッジおよびネットワーキングデバイスへの焦点を続けました。これにはUNC3886によるCVE-2025-21590の悪用およびUNC5221によるCVE-2025-0282の悪用が含まれます。

脆弱性の観察された大量悪用は、PRC関連スパイ活動オペレーターがエクスプロイトの開発と共有および配布に、他に分離されたグループ間でますます熟練していることを示唆しています。歴史的に、ゼロデイエクスプロイトは緊密に保有され、最も資金豊富な脅威グループによってのみ活用されました。しかし、時間とともに、増加する活動クラスターが公開開示により近い脆弱性を悪用していることを観察してきました。これはPRC関連スパイ活動オペレーターがエクスプロイト開発と彼ら間での配布の両方に必要な時間を削減したことを示唆しています。これは、特定の脆弱性をターゲットにするエクスプロイトコードの段階的な拡散だけでなく、n日脆弱性の公開開示と複数グループによる広範な悪用との間のギャップの縮小によっても反映されています。

2024年とは対照的に、その間に5つのゼロデイの悪用を北朝鮮の国家後援脅威アクターに帰属させた。2025年、われわれはいかなるゼロデイも北朝鮮のグループに帰属させませんでした。

財政的に動機付けられた悪用のスパイク

われわれは、2025年に9つのゼロデイの悪用を可能性の高いまたは確認された財政的に動機付けられた脅威グループによって追跡しました。これには、ランサムウェア配置につながった運用で2つのゼロデイの報告された悪用が含まれます。これはほぼ2023年に財政的に動機付けられたグループに帰属させた10のゼロデイの前回の高値に並び、2024年に財政的に動機付けられたアクターに帰属させた5つのゼロデイのほぼ2倍です。財政的に動機付けられたグループに帰属させた総ゼロデイ悪用の量は年から年へと変動していますが、ゼロデイ景観でのこれらの脅威アクターの持続的な存在は、ゼロデイエクスプロイト開発と配置への継続的な投資を反映しています。財政的に動機付けられたアクター（ランサムウェア関連者を含む）は、複数の動機全体で観察された傾向を反映して、実質的な数のエンタープライズエクスプロイトにリンクされていました。

われわれは、2021年、2023年、2024年、および2025年の過去5年間のうち4年間でFIN11またはそれに関連するクラスターによるゼロデイ悪用を観察しました。2025年9月下旬、GTIGは、過去はFIN11によって主に使用されたCL0P恐喝ブランドとの関連を主張する脅威アクターによる新しい大規模な恐喝キャンペーンの追跡を開始しました。このアクターは、多数の組織の幹部に高い量のメールを送信し、被害者のOracle E-Business Suite(EBS)環境からの機密データの盗難を主張しました。われわれの分析は、CL0P恐喝キャンペーンはEBSカスタマー環境をターゲットにした数ヶ月の侵入活動に続いたことを示しました。脅威アクターは、CVE-2025-61882および/またはCVE-2025-61884を8月9日までのOracle EBSカスタマーに対するゼロデイとして悪用しました。2025年は、パッチが利用可能になる前に数週間で、追加の疑わしい活動が7月10日にさかのぼっています。2025年。
GTIGは、Evil Corpの公開報告と重複する財政的に動機付けられたグループUNC2165を識別しました。ロシアの著名なメンバーを有し、CVE-2025-8088を活用してマルウェアを配布している2025年7月中旬。この活動は、初期アクセスのためにゼロデイを使用するUNC2165を観察した最初のインスタンスをマークしました。地下活動とVirusTotal RAR アーカイブ提出からの追加の証拠は、CVE-2025-8088が同じ期間でも他のアクターによって悪用されたことを示しており、CIGAR/UNC4895（公開報告RomComなど）との疑い重複を持つ脅威クラスターを含みます。UNC4895は、2024年の他の2つのゼロデイの悪用を含む財政的に動機付けられたとスパイ活動運用の両方を実施した別のロシアの脅威グループです。

スポットライト：注目の脅威アクター活動と技術

ブラウザサンドボックスエスケープ

2025年で様々なブラウザサンドボックスエスケープの発見は、この領域の現在のトレンドと開発を評価する機会を提供しました。これらのそれ以上を分析すると、重大なトレンドが明らかになりました：なしは、ブラウザサンドボックス自体に総称でした（例えば、CVE-2021-37973、CVE-2023-6345、CVE-2023-2136）。代わりに、これらのサンドボックスエスケープは、基盤となるオペレーティングシステムまたは使用されたハードウェアのいずれかのコンポーネントを悪用するために特別に設計されました。このセクションは、これらの脆弱性の簡潔な技術的概要を提供します。

オペレーティングシステムベースのサンドボックスエスケープ

CVE-2025-2783はWindowsのChromeサンドボックスをターゲットにしました。脆弱性は、適切に検証されなかった標識OSハンドル（-2）の不適切な処理により起因しました。ipczフレームワークを介したプロセス間通信(IPC)メッセージを操作することで、攻撃者はこれらの特別なハンドルをレンダラープロセスに中継することができました。エクスプロイトは、侵害されたレンダラーがハンドルへのアクセスを得ることを許可し、より権限の高いプロセス内でのコードインジェクション、最終的にはサンドボックスエスケープを導きました。

CVE-2025-48543は、Android Runtime（ART）に影響を与えました。実行速度と電力効率を改善するためにアプリケーションバイトコードをネイティブマシン命令に変換するシステム。UAF脆弱性は、Java オブジェクト（抽象クラスなど）のデシリアライゼーション時に発生した。まず、インスタンス化可能でないはずのオブジェクト。エクスプロイトの最も注目すべき側面は、どのようにバグが侵害されたChrome レンダラーからアクセスされるかです。最近のAndroidバージョンでは、エクスプロイトはNotification Parcelオブジェクトに埋め込まれたシリアル化されたペイロードを配信するためにBinder トランザクションを送信しました。その後の悪意のあるオブジェクトのUnparcelingはARTでのUAFを引き起こし、システムレベルの権限で動作するサービスであるsystem_serverの内で任意のコード実行につながります。このような特定の脆弱性クラスと攻撃ベクトルは、公開新しい可能性がありますが、われわれはパーセルの不一致n日脆弱性が過去で同じ攻撃ベクトルを使用してChrome サンドボックスエスケープを達成するために悪用されていることを観察しました。

デバイス固有のサンドボックスエスケープ

CVE-2025-27038は、WebGL コマンドシーケンスの後に特別に細工されたglFenceSync呼び出しで起動できるQualcomm Adreno GPUユーザーランドライブラリのUAF脆弱性です。脆弱性により、攻撃者はAndroidデバイス上のChrome GPUプロセス内のコード実行を達成できます。われわれは、Chromeレンダラー（CVE-2024-0519）およびKGSL ドライバー（CVE-2023-33106）の脆弱性チェーンでこの脆弱性の野生地帯での悪用を観察しました。

同様のインスタンスで、CVE-2025-6558は、Mali GPUユーザーランドライブラリをターゲットにしました。この脆弱性は、ブラウザによって適切に検証されなかったOpenGLES コマンドシーケンスによって引き起動されました。具体的には、out-of-bounds書き込みは、GL_TRANSFORM_FEEDBACK_BUFFERパラメーターを使用したglBufferData()の発行により、ユーザーランドドライバー内で引き起こされました。その間、前のglBeginTransformFeedback()操作は有効なままでした。Googleは、実装することでANGLEでこの問題に対処しました。この特定のコールシーケンスを無効にするための検証。われわれはChrome レンダラー（CVE-2025-5419）およびLinuxカーネルのposix CPUタイマー実装（CVE-2025-38352）の脆弱性チェーンでこの脆弱性の野生地帯での悪用を観察しました。

さらに、CVE-2025-14174は、Appleデバイス上のMetalバックエンドに影響を与える脆弱性です。その場合、ANGLEはtexImage2D操作の実装中にバッファサイズを誤ったコミュニケーション、Metal GPUユーザーモードドライバー内のメモリアクセスのうち結果。

SonicWall フルチェーンエクスプロイト

2025年後半、GTIGはSonicWall Secure Mobile Access(SMA)1000シリーズアプライアンスのマルチステージエクスプロイトを収集しました。エクスプロイトチェーンは複数の脆弱性を活用して、ゼロデイとして活用されているものを含む、ターゲットアプライアンスで認証または認証されていないリモートコード実行を提供しました。

認証バイパス(n日)

エクスプロイトは認証されたJSESSIONIDセッショントークンの有無にかかわらず利用できます。トークンなしで実行された場合、エクスプロイトは、SMA1000の中央管理サーバー機能におけるSSO トークン生成の弱点を悪用することで、組み込みの管理ユーザーのトークンを取得しようとします。

この脆弱性はパッチされていた。CVE-2025-23006の一部として。Microsoft脅威インテリジェンスセンター(MSTIC)によってSonicWallに報告され、2025年1月にパッチされる前に野生地帯で悪用されていたと報告されました。GTIGは現在、この脆弱性の事前の悪用がこの新しいエクスプロイトチェーンの使用にリンクされているかどうかを評価することはできません。

リモートコード実行(n日)

エクスプロイトが有効なセッションcookie がターゲットの場合、デシリアライゼーション脆弱性を通じてリモートコード実行を達成しようとします。オブジェクトはシリアル化されBase64でエンコードされ、整合性チェックなしでWebアプリケーションクライアントとアプライアンスサーバーの間で渡されます。これにより、攻撃者は悪意のあるJavaオブジェクトを鍛造でき、サーバーに送信でき、サーバーはオブジェクトを解析し、任意のJavaバイトコード実行を引き起こします。エクスプロイトは、ysoserialで生成されたペイロードを使用して任意のシェルコマンドを実行するためにこのプリミティブを活用しました。Java シリアル化関連の脆弱性の悪用を支援するために使用される一般的なツール。

この脆弱性は、クライアントに送信する前にAES-256-ECBでオブジェクトを暗号化することでパッチされました。サーバー起動時にランダムに生成されたエフェメラルキーを使用して、メモリに保存されます。キーの知識なしに変更されたペイロードは成功してパースされず、信頼できないオブジェクトの脱シリアル化のリスクを緩和します。別の脆弱性は暗号化キーを漏らさない限り。パッチは2024年3月にCVEなしで静かにリリースされました。

ローカル権限昇格(0日)

上記のデシリアライゼーション脆弱性を悪用した後、エクスプロイトは、管理Webアプリケーションをホストしているアプロセスを実行するmgmt-serverユーザーとして任意のシェルコマンドを実行できます。root特権に昇格するために、エクスプロイトはctrl-serviceのゼロデイを使用しました。これはPythonで記述されたカスタムXML-RPCサービスであり、ループバックアドレスのポート8081にバインドされています。これにより、リモート攻撃者は直接アクセスできません。ただし、デバイス上で既に低い権限レベルでコード実行を達成した後、アクセスできます。この脆弱性は、新しく発見されたRCE脆弱性、またはアプライアンスの直接コンソール/SSHアクセスと組み合わせて悪用されていた可能性があります。今のところ、前述のRCEエクスプロイトとのみチェーン化されているのを観察しました。

GTIGはこの脆弱性をSonicWallに報告しました。2025年12月にCVE-2025-40602としてパッチを公開しました。この脆弱性を修正するために、SonicWallは署名検証をサービスに追加してサービスが署名されていないファイルを実行することを防止しました。

DNG脆弱性

このセクションは、CVE-2025-21042の悪用サンプルに特に焦点を当てており。GTIGはゼロデイ悪用を確認していません。ただし、ゼロデイCVE-2025-21043およびCVE-2025-43300は同一の悪用条件を共有しているため、基礎となる悪用技術のこの議論を含めます。

2024年7月から2025年2月の間に、複数の疑わしい画像ファイルがVirusTotalにアップロードされました。Metaからのリードのおかげで、これらのサンプルはGoogle脅威インテリジェンスグループに注意を向けました。これらの画像の調査をしました。われわれはそれらがQuram ライブラリをターゲットにしたデジタル負（DNG）画像であることを発見しました。Samsung デバイス固有の画像パースライブラリです。

VirusTotal提出ファイル名でこれらのエクスプロイトの複数の。WhatsAppを介して受け取られた画像を示唆しました。ただし、最終的なペイロードは、エクスプロイトがcomプロセス内で実行されることを期待することを示しました。.samsung.ipservice。これはSamsungの固有システムサービスで、他のSamsungアプリケーションに「知的な」またはAIを駆動する機能を提供する責任があり、Android のMediaStoreの画像とビデオを定期的にスキャンして解析します。

WhatsAppが画像を受信してダウンロードすると、MediaStoreに画像を挿入します。これにより、ダウンロードされたWhatsApp画像（とビデオ）はcom内の画像パース攻撃表面に打たれることができます。.samsung.ipservice アプリケーション。ただし、WhatsAppは信頼されていないコンタクトから画像を自動的にダウンロードするつもりはありません。追加のバイパスがなく、画像が信頼できないコンタクトから送信されたと仮定すると、ターゲットは画像をクリックして、ダウンロードをトリガーし、MediaStoreに追加する必要があります。これは「1クリック」エクスプロイトとして分類されます。GTIGは、攻撃者が0クリック悪用を達成するためにそのようなバイパスを使用する知識や証拠を持っていません。

com.samsung.ipserviceは「Quram」という独別の画像パースライブラリが付属しており、C++で記述されています。画像パースはプロセス内で行われ、サービスの権限に対してサンドボックス化されていません。これはルールの2を破り、単一のメモリ破損脆弱性がcomへのすべてのアクセスを許可できることを意味します。.samsung.ipservice、つまり、電話全体のMediaStore を持つアクセスを持つ。

これはまさに攻撃者がしたことです。彼らは強力なメモリ破損脆弱性（CVE-2025-21042）を発見しました。これにより、ヒープバッファから制御されたオフセットで制御されたアウトオブバウンドライトが可能になります。この単一の脆弱性で、彼らはcomプロセス内でコード実行を取得し、そのプロセスの権限でペイロードを実行できました。.samsung.ipservice。

ASLR バイパスのトリックの他に、攻撃者にとって重大な障害はありませんでした。制御フロー整合性緩和はないようなポインター認証コード(PAC)またはブランチターゲット識別(BTI)がQuramライブラリにコンパイルされています。これにより、攻撃者は任意のアドレスをジャンプ指向プログラミング(JOP)ガジェットとして使用でき、不正なvtableを構築できました。scudo アロケータも適切なハードニング手法に従いませんでした。heap sprayingプリミティブ、より多くのあるいは本質的にDNG形式に固有のプリミティブは強力であり、scudoのランダム化戦略でも予測可能なヒープレイアウトを許可します。Android上のscudoの「隔離」機能の欠如も、解放された割り当てを決定的に再利用するために便利です。

このケースは、特定の画像形式がどのように単一のメモリ破損バグを0クリックASLRバイパスと結果的なリモートコード実行に変える強力なプリミティブを提供できるかを示しています。CVE-2025-21042を使用してピクセルバッファの境界を破損することで、後続の悪用はDNG仕様とそのの利点をとることで発生できます。実装。

このケースで悪用されたバグは、強力かつかなり浅いです。Project Zero’s Reporting Transparencyが説明しているように、同じコンポーネント内の数個の他の脆弱性は最近の数ヶ月で発見されています。

これらのタイプのエクスプロイトは、攻撃者にとって有用なものを達成するために長く複雑なエクスプロイトチェーンの一部である必要はありません。右の攻撃表面に到達するための方法を見つけることで、単一の関連する脆弱性を持つ。攻撃者は、Android のMediaStore のすべての画像とビデオへのアクセス。監視ベンダーのための強力な機能を構成しています。

より詳細な技術分析を見つけることができますProject Zero のブログ。

防御の優先順位付けとゼロデイ脅威の軽減

防御者は準備する必要がありますいつか、もしかではなく、侵害が起こります。GTIGは引き続き脆弱性悪用をMandiant事件対応調査における初期アクセスの第1ベクトルとして観察し、盗まれた認証情報やフィッシングなどの他のベクトルを上回っています。システムアーキテクチャは、組み込みのセキュリティ認識を有する設計および構築する必要があり、固有のセグメンテーションと最小権限アクセスを有効にします。包括的な防御措置と対応の努力は、すべてのアセットのリアルタイムインベントリが監査・保守されることを必要とします。予防的ではありませんが、継続的な監視と異常検出、システムとネットワーク内の両方、洗練された実行可能な警告機能と組み合わせられています。リアルタイムの脅威を検出して対応する方法です。

以下は、個人デバイスとおよび組織インフラストラクチャ内でのゼロデイ悪用に対する防御方法に関する非包括的なアプローチとガイドラインのセットです。

1. アーキテクチャの強化＆表面削減

- インフラストラクチャ：
  - DMZ、ファイアウォール、VPNが、侵害されたエクスターナルコンポーネントからのラテラルムーブメントを防ぐために、コアネットワークおよびドメインコントローラーを含む重要なアセットから適切にセグメント化されていることを確認してください。
  - アプリケーション内の実行フローを監視して、不正なデータベースクエリとシェルコマンドをブロックしてください
  - 厳密に必要でない場合、デバイスのネットワークポートをインターネットに公開しないでください
- 個人デバイス：
  - デバイスをオフにして/またはデバイスを家に残してください。悪用のリスクが増加している場合。
  - デバイスをファーストアンロック前（BFU）モードに入れ、物理攻撃のリスクが増加している場合はUSB制限モード。
  - 近接攻撃のリスクが増加している場合は、セルラー、WiFi、Bluetoothをオフにしてください。
  - 利用可能になったらすぐにパッチを適用してください。
  - 広告ブロッカーを使用し、Apple広告プライバシー設定を構成し、可能な場合はAndroidプライバシーサンドボックスオプションを有効にしてください。
  - Android Advanced Protection ModeおよびiOS Lockdown Modeを有効にしてください。
  - 使用しない場合は、アプリケーション、および無効なサービスと機能（デフォルトで有効なものを含む）を削除してください。

2. 高度な検出＆動作監視

- インフラストラクチャ：
  - 厳格なドライバーブロックリストを適用し、従来のEDRが見落とす可能性のある異常なカーネルレベルの動作をフラグします。
  - 「Living off the Land」(LotL)アクティビティおよび他の永続化メカニズムをフラグできるように、システムプロセスのベースラインを確立してください。
  - カナリアトークンとファイルを展開して、ラテラルムーブメントの高忠実度アラートを収集してください。
- 個人デバイス：
  - 疑わしいリンクまたは添付ファイルを受信したときに、専門家のアドバイス（例：Amnesty、CitizenLab、Access Now）を求めてください。また、疑わしいアプリケーションおよび/またはオペレーティングシステムのクラッシュを観察するときに。
  - 登録Googleの高度な保護プログラム。
  - 有効にするAndroid Advanced Protection Mode。
  - 有効にするChromeで強化された安全閲覧。
  - 有効にするSafari詐欺的なWebサイト警告。
  - 有効にするEdge強化セキュリティ保護。

3. 運用対応

- インフラストラクチャ：
  - ソフトウェア部品表(SBoM)を保持して、環境全体での開示されたゼロデイの影響を受けるライブラリを参照・検出してください(例：Log4j)。
  - 脆弱性が即座に注意が必要な場合、標準的な変更管理をバイパスするプロセスを確立してください。
  - パッチが利用不可の場合は、特定のサービスを無効にするか、周囲でポートをブロックするなどの一時的な措置でシステムとコンポーネントを分離してください。
- 個人デバイス：
  - 電話を定期的に再起動してください。
  - 未知のコンタクトからリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。

優先順位付けは、実装される解決策を決定するために必要な限定的なリソースにより、ほとんどの組織にとって一貫した闘争です。各リソースを配置する選択肢について、別のセキュリティのニーズは無視されます。あなたの脅威とあなたの攻撃表面を知り、あなたのシステムとインフラストラクチャを最善に防ぐために意思決定を優先順位付けしてください。

投稿カテゴリー

脅威インテリジェンス

翻訳元: https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review/