サイバー攻撃の多くはソフトウエアの脆弱性(セキュリティー上の欠陥)を悪用する。このため、ソフトウエアベンダーが提供する修正プログラム(パッチ)を適用し、脆弱性を解消することが重要なセキュリティー対策になる。
だが、この対策が通用しないサイバー攻撃がある。「ゼロデイ攻撃」だ。ゼロデイ攻撃は、パッチがまだ公開されていない段階の脆弱性(ゼロデイ脆弱性)を悪用する。パッチが存在しないため、事前の防御が難しい。
米Google(グーグル)は2026年3月上旬、2025年に確認したゼロデイ攻撃の詳細をリポートにまとめて公表した。リポートを基に、その危険な現状を解説する。
企業向け製品を狙う比率が過去最高に
2025年に悪用が確認されたゼロデイ脆弱性は90件だった。2024年の78件を上回り、過去最多である2023年の100件や2021年の96件に迫った。ゼロデイ攻撃に使われた脆弱性の数は2021年に急増し、それ以降は60~100件の範囲で推移している。2025年の90件は、「想定の範囲内」とグーグルは評価している。
ゼロデイ攻撃を受けた製品をベンダー別で見ると、米Microsoft(マイクロソフト)が25件で最も多く、グーグルが11件、米Apple(アップル)が8件で続く。多くの製品を扱っている大手ベンダーがゼロデイ攻撃を多く体験し、米Cisco Systems(シスコシステムズ)や米Fortinet(フォーティネット)といったセキュリティー製品ベンダーが続く(いずれも4件)。このような傾向は2024年と同様だという。
20社のベンダーはそれぞれ1製品のみがゼロデイ攻撃を受けた。これについてグーグルは、「攻撃者は目的の企業や組織に侵入するために、様々なベンダーの製品を狙っていることを示している」と指摘している。
2025年におけるゼロデイ攻撃の特徴の1つとしてグーグルは、企業向け製品が狙われたことを挙げる。ゼロデイ攻撃を受けた製品を企業向けとエンドユーザー向けに分類したところ、企業向けが48%、エンドユーザー向けが52%で、企業向けの比率は2024年の46%から微増して過去最高を記録した。
次のページ
誰がゼロデイ脆弱性を悪用しているのかこの記事は会員登録で続きをご覧いただけます
