Googleゼロデイ報告書——スパイウェア企業と中国系ハッカーが2025年の悪用を主導
**Googleの脅威分析グループ(TAG)とMandiantが共同で発表した2025年ゼロデイ報告書によると、同年に確認されたゼロデイ悪用は過去最多の90件超に達した。**その主犯格は、NSO Groupをはじめとする民間スパイウェア企業と、中国政府に紐づくサイバースパイグループだ。さらに衝撃的なのは、攻撃の標的が従来のブラウザやスマートフォンから、VPN機器やファイアウォールといったエンタープライズ向けネットワーク機器へと大きくシフトしている事実である。
この報告書は、セキュリティ業界が長年警告してきた「攻撃面の拡大」が現実のものとなったことを数字で裏付けるものだ。本記事では、報告書の核心データを読み解きながら、企業のIT管理者が今すぐ取るべき対策を解説する。
ゼロデイ脆弱性とは何か
ゼロデイ脆弱性とは、ソフトウェアベンダーがまだ認知していない、あるいは認知していてもパッチが提供されていない脆弱性を指す。「ゼロデイ」の名前は、開発者が問題を修正するための猶予が「0日」であることに由来する。
ゼロデイ悪用(ゼロデイエクスプロイト)は、この未修正の脆弱性を突く攻撃コードのことだ。パッチが存在しないため、従来のシグネチャベースのアンチウイルスでは検知が極めて困難であり、国家支援型の攻撃者や高度なサイバー犯罪グループにとって最も価値の高い「武器」となっている。
ゼロデイの市場価格は年々高騰しており、iOSのフルチェーンエクスプロイト(遠隔から完全なデバイス制御を可能にする攻撃コード一式)は、闇市場で**250万〜500万ドル(約3.7億〜7.5億円)で取引されているとされる。エンタープライズ向けVPN機器のゼロデイでも50万〜200万ドル(約7500万〜3億円)**の価格帯が報告されている。
2025年の主要データ:過去最多の90件超
Googleの報告書が示した2025年のゼロデイ悪用件数は90件超で、2024年の75件、2023年の97件(当時の最多記録)に並ぶ歴史的な高水準だ。ただし、Googleは「実際の悪用件数はこの数字よりはるかに多い可能性が高い」と注記しており、検知能力の向上が件数増加の一因であるとしている。
この図は、2025年のゼロデイ悪用を主体別に分類したもので、スパイウェア企業が最大の悪用者であることを示しています。
報告書の主要な数値をまとめると以下のとおりだ。
| 指標 | 2023年 | 2024年 | 2025年 |
|---|---|---|---|
| ゼロデイ悪用確認件数 | 97件 | 75件 | 90件超 |
| スパイウェア企業関連 | 25件 | 28件 | 32件 |
| 中国系APT関連 | 12件 | 16件 | 24件 |
| エンタープライズ標的の割合 | 22% | 33% | 44% |
| ブラウザ標的の割合 | 35% | 28% | 19% |
この表から読み取れるトレンドは明確だ。スパイウェア企業と中国系APTの活動は年々拡大し、攻撃の標的はコンシューマー向けソフトウェアからエンタープライズ機器へと急速にシフトしている。
スパイウェア企業:最大のゼロデイ消費者
報告書で最も注目すべきは、商用スパイウェア企業がゼロデイ悪用の最大の主体であるという事実だ。2025年に確認されたゼロデイの約35%が、NSO Group、Intellexa(旧Cytrox)、Candiru、QuaDreamといった民間企業の製品で使用されていた。
スパイウェア企業のビジネスモデル
これらの企業は、政府機関に「合法的な監視ツール」としてスパイウェアを販売している。NSO Groupの「Pegasus」はその代表例で、標的のスマートフォンに遠隔からアクセスし、通話記録、メッセージ、位置情報、カメラ、マイクを完全に制御できる。
しかし、その「合法的」な使途は建前にすぎないケースが多い。Citizen LabやAmnesty Internationalの調査によれば、Pegasusはジャーナリスト、人権活動家、政治的反体制派の監視に広範に使用されてきた。2025年にはさらに範囲が拡大し、EU加盟国内での野党政治家に対する監視事例が複数確認されている。
なぜ規制が追いつかないのか
スパイウェア企業が依然として活動できる理由は複合的だ。
- 法的グレーゾーン: 多くの国ではスパイウェアの開発・販売自体は違法ではない
- 顧客が政府: 最大の購入者が各国政府機関であるため、自国での規制が進まない
- 企業の再編: 規制を受けた企業が解散し、同じ人材が新会社を立ち上げるパターンが常態化
- 需要の拡大: ゼロデイの供給者が淘汰されても、需要側(政府機関)が増え続けている
米国はNSO Groupを2021年にエンティティリスト(事実上の禁輸リスト)に掲載したが、同社は依然として事業を継続している。EUも2023年にスパイウェアの輸出規制を強化したが、抜け穴が多く実効性は限定的だ。
中国系APT:最も活発な国家アクター
報告書で2番目に大きな脅威として挙げられているのが、中国政府に紐づくAPT(Advanced Persistent Threat)グループだ。2025年に確認された国家支援型のゼロデイ悪用のうち、中国系グループが単独で最多の24件を記録した。これは2024年の16件から50%の増加だ。
主なAPTグループと活動
| グループ名 | 別名 | 主な標的 | 2025年の注目活動 |
|---|---|---|---|
| APT41 | Winnti, Barium | テクノロジー、製造業 | VPN機器への大規模キャンペーン |
| APT31 | Zirconium | 政府機関、通信 | メールゲートウェイのゼロデイ悪用 |
| Volt Typhoon | — | 重要インフラ | 米国水道・電力網への潜伏 |
| Salt Typhoon | — | 通信事業者 | 通信傍受インフラの侵害 |
特に注目すべきはVolt Typhoonの活動だ。このグループは従来の情報窃取を目的とするスパイ活動ではなく、米国の重要インフラに長期間潜伏し、有事の際にサービスを破壊する能力を構築していると分析されている。FBIは2025年に、Volt Typhoonが米国の水処理施設と電力網に数年間にわたり潜伏していたことを明らかにした。
中国系APTの技術的特徴
中国系グループの攻撃には共通する技術的特徴がある。
- Living off the Land(環境寄生型攻撃): マルウェアの使用を最小限に抑え、正規のシステムツール(PowerShell、WMI等)で活動することで検知を回避
- エッジデバイスの標的化: ファイアウォール、VPN、ルーターなどEDRが導入されていない機器を優先的に攻撃
- 長期潜伏: 初期侵入から実際のデータ窃取まで数ヶ月〜数年の潜伏期間を設ける
- サプライチェーン攻撃: 標的企業を直接攻撃するのではなく、その取引先やソフトウェアサプライヤーを経由して侵入
エンタープライズ機器が最大の標的に
2025年の報告書で最も重要なトレンドは、攻撃対象のエンタープライズシフトだ。ゼロデイ悪用全体に占めるエンタープライズ製品の割合は**44%**に達し、2023年の22%から倍増した。
この図は、ゼロデイ攻撃の標的がコンシューマー向けソフトウェアからエンタープライズ向けネットワーク機器へとシフトしている構造的な変化を示しています。
狙われる具体的な製品カテゴリ
2025年に実際にゼロデイが確認された主なエンタープライズ製品は以下のとおりだ。
| カテゴリ | 悪用された製品例 | 確認件数 |
|---|---|---|
| VPN機器 | Ivanti Connect Secure、Palo Alto GlobalProtect | 14件 |
| ファイアウォール | Fortinet FortiGate、Cisco ASA | 10件 |
| メールゲートウェイ | Barracuda ESG、Microsoft Exchange | 7件 |
| MDM/EMM | VMware Workspace ONE、Ivanti EPMM | 5件 |
| ファイル転送 | MOVEit、GoAnywhere | 4件 |
なぜエンタープライズ機器が狙われるのか
エンタープライズ機器が攻撃者にとって魅力的な標的である理由は明確だ。
1. EDR/アンチウイルスの不在: デスクトップPCやサーバーにはEDR(Endpoint Detection and Response)が標準的に導入されているが、VPN機器やファイアウォールには導入されていないケースがほとんどだ。攻撃者はこの「盲点」を突くことで、検知されずに活動できる。
2. パッチ適用の遅延: コンシューマー向けソフトウェアは自動更新が普及しているが、エンタープライズ機器は手動でのパッチ適用が基本だ。ダウンタイムを避けるために「次のメンテナンスウィンドウまで待つ」という判断が、脆弱性の窓を数週間〜数ヶ月間開いたままにする。
3. 高い攻撃ROI: VPN機器を1台侵害するだけで、そのVPNに接続するすべてのネットワークセグメントにアクセスできる可能性がある。エンドポイント1台の侵害とは比較にならないリターンが得られる。
4. フォレンジックの困難さ: 多くのエンタープライズ機器は詳細なログを取得・保持する機能が限定的であり、侵害の痕跡を特定するフォレンジック調査が困難だ。攻撃者はこの特性を熟知しており、機器の再起動でメモリ上の痕跡が消えることを利用して活動を隠蔽する。
競合・類似レポートとの比較
ゼロデイの動向を追跡するレポートはGoogle TAG/Mandiant以外にも存在する。主要レポートを比較してみよう。
| レポート | 発行元 | 2025年確認件数 | 特徴 |
|---|---|---|---|
| Zero-Day Exploitation Report | Google TAG/Mandiant | 90件超 | 最も包括的、国家アクター分析が充実 |
| Threat Landscape Report | CrowdStrike | 82件 | eCrime(金銭目的)の分析が詳細 |
| Annual Threat Report | Microsoft MSTIC | 78件 | Windows/Azure関連の分析が豊富 |
| Year in Review | Recorded Future | 85件 | オープンソース情報に基づく広範な集計 |
件数の差異は、各社の観測範囲と「ゼロデイ」の定義の微妙な違いによるものだ。しかし、いずれのレポートも「エンタープライズ標的の増加」と「中国系APTの活発化」を共通して指摘している。
日本への影響と対策
日本企業が直面するリスク
日本は中国系APTにとって主要な標的国の一つだ。JAXA(宇宙航空研究開発機構)への不正アクセスや、先端技術を持つ製造業への標的型攻撃が過去に確認されている。2025年の報告書で中国系APTの活動が50%増加したことは、日本企業にとって直接的な脅威の増大を意味する。
特に以下の業種は高リスクだ。
- 半導体・電子部品メーカー: 中国の半導体自給自足戦略に関連する技術情報の窃取
- 防衛関連企業: 安全保障関連の機密情報へのアクセス
- 通信事業者: 通信傍受インフラの構築(Salt Typhoon型の攻撃)
- 重要インフラ: 電力、水道、交通などの制御システムへの潜伏
エンタープライズ機器の防御策
日本企業のIT管理者が今すぐ取り組むべき対策を整理する。
ネットワーク機器の棚卸し: まず、自社のVPN機器、ファイアウォール、ロードバランサーの全台数とファームウェアバージョンを把握する。これができていない企業は驚くほど多い。
パッチ適用の迅速化: CISA KEV(既知の悪用済み脆弱性)カタログに追加された脆弱性は、72時間以内にパッチを適用するポリシーを策定する。日本の場合、JPCERTの注意喚起情報もあわせて監視するとよい。
ネットワークセグメンテーション: VPN機器が侵害された場合に被害が全社に拡大しないよう、ネットワークをセグメント化し、各セグメント間のアクセスを最小権限に制限する。
ゼロトラストアーキテクチャの導入: VPN依存からゼロトラスト(すべてのアクセスを都度検証する)モデルへの移行を検討する。Google自身が「BeyondCorp」として実装した手法だ。
個人ユーザーの防御策
エンタープライズが主な標的とはいえ、スパイウェア企業によるゼロデイ悪用はスマートフォンやブラウザを狙うケースが依然として多い。個人ユーザーも以下の対策を徹底すべきだ。
- OS・ブラウザの即時更新: 自動更新を有効にし、アップデート通知が出たら24時間以内に適用する
- パスワードマネージャーの使用: 認証情報が窃取されてもリスクを限定するため、サービスごとに一意のパスワードを設定する。1Passwordなどのパスワードマネージャーを使えば管理の手間なく実現できる
- VPNの利用: 公共Wi-Fi利用時はNordVPNなどの信頼できるVPNサービスで通信を暗号化する。特にジャーナリストや活動家など、スパイウェアの標的となりうる職種の方には必須だ
- ロックダウンモードの活用: iOSの「ロックダウンモード」は、スパイウェアの攻撃面を大幅に縮小する。高リスクユーザーは有効化を検討すべきだ
- 二要素認証: すべてのアカウントで二要素認証(できればFIDO2物理キー)を有効にする
まとめ:3つのアクションステップ
Googleの2025年ゼロデイ報告書は、サイバーセキュリティの脅威環境が構造的に変化していることを明確に示した。スパイウェア企業の野放し状態、中国系APTの活動拡大、エンタープライズ機器への標的シフトという3つのトレンドは、2026年以降もさらに加速する見通しだ。
今すぐ取るべきアクションを3つにまとめる。
- エンタープライズ機器の棚卸しとパッチ運用の見直し: VPN、ファイアウォール、メールゲートウェイの全台数を把握し、CISA KEVに追加された脆弱性は72時間以内にパッチを適用するポリシーを策定する
- ゼロトラストへの移行計画の策定: VPN依存のネットワーク構成から、ゼロトラストアーキテクチャ(BeyondCorp、Zscaler、Cloudflare Access等)への移行ロードマップを策定する
- 個人の基本対策の徹底: OS・ブラウザの即時更新、1Passwordによるパスワード管理、NordVPNによる通信暗号化を習慣化する
ゼロデイ攻撃を100%防ぐことは不可能だが、攻撃者のコストを引き上げ、侵害された場合の被害を最小化することは可能だ。報告書が示すデータを自社のセキュリティ戦略に反映し、受動的な防御から能動的なリスク管理へと転換することが求められている。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星