Google says 90 zero-days were exploited in attacks last year

Google Threat Intelligence Group(GTIG)は、2025年を通じて90件のゼロデイ脆弱性が積極的に悪用されたことを追跡し、そのほぼ半数が企業向けソフトウェアとアプライアンスに存在することを明らかにした。

この数字は、78件のゼロデイ脆弱性が悪用された2024年と比較すると15%増だが、2023年に追跡された記録的な100件のゼロデイ脆弱性よりは低い。

ゼロデイ脆弱性とは、ソフトウェア製品のセキュリティ上の問題を攻撃者が悪用するもので、通常はベンダーがその存在を知り、パッチを開発する前に悪用されます。ゼロデイ脆弱性は、初期アクセス、リモート・コード実行、権限昇格を可能にすることが多いため、脅威行為者に高く評価されています。

GTIGが本日発表したレポートによると、2025年に悪用されたと追跡された90件のゼロデイのうち、47件がエンドユーザープラットフォームを標的とし、43件がエンタープライズ製品を標的としていた。

悪用された欠陥の種類には、リモート・コード実行、特権の昇格、インジェクションおよびデシリアライゼーションの欠陥、認証バイパス、メモリ破壊(use-after-free)のバグが含まれる。グーグルによると、昨年悪用されたゼロデイ脆弱性のうち、メモリ安全性の問題が35%を占めたという。

最も標的とされた企業システムは、セキュリティ・アプライアンス、ネットワーク・インフラ、VPN、仮想化プラットフォームで、これらは特権的なネットワーク・アクセスを提供し、多くの場合EDR監視が欠如しているためです。

GTIGによると、昨年最も悪用されたのはオペレーティングシステムのバグで、デスクトップOSで24件、モバイルプラットフォームで15件のゼロデイ脆弱性が攻撃された。

ウェブブラウザのゼロデイ攻撃は8件に減少し、例年に比べて激減した。

Googleのアナリストは、これはこのソフトウェアカテゴリのセキュリティ強化が進んだためではないかと推測していますが、脅威行為者がより高度な回避戦術を用い、悪意のある活動を隠すことに長けているケースも考えられます。

Type of zero-day targets
2025 年におけるゼロデイ標的の種類とそのシェア
出所:グーグル

GTIGのリサーチャーによると、昨年ゼロデイの標的となったベンダーのトップはマイクロソフトで25件、次いでグーグルが11件、アップルが8件、シスコとフォーティネットがそれぞれ4件、IvantiとVMwareがそれぞれ3件でした。

Google がゼロデイ攻撃の追跡を開始して以来初めて、商用スパイウェアベンダーが文書化されていない欠陥の最大のユーザーとなり、国家によるスパイ活動グループを上回りました。

「これは、ここ数年来観測され始めた傾向を反映したものであり、ゼロデイ悪用のうち、CSVやその顧客によって行われる割合が増加していることを示しています

Threat actors driving the zero-day exploitation volume
ゼロデイ悪用件数を牽引する脅威アクター
Source:グーグル

Googleの研究者によると、国家が支援するアクターの中では、中国に関連するスパイグループが依然として最も活発であり、2025年には10のゼロデイが悪用されたという。これらの攻撃は、主にエッジデバイス、セキュリティアプライアンス、ネットワーク機器を標的とし、長期的な持続的アクセスを目的としていた。

昨年観測されたもう1つの顕著な傾向は、金銭的な動機(ランサムウェア、データ強要)を持つアクターによるゼロデイ悪用の増加で、9件の欠陥がこのアクターによるものでした。

GTIGは、AIツールの利用が脆弱性の発見を自動化し、エクスプロイト開発を加速させるため、2026年もゼロデイ欠陥の悪用は高水準で推移すると考えています。

Brickstormキャンペーンは、ハッカーがソースコードの窃取から将来のソフトウェア製品の欠陥の発見に焦点を移しつつあることを示す一例として、レポートの中で強調されています。

ゼロデイ攻撃を検知し、阻止するために、グーグルは、攻撃サーフェスと特権の露出を減らし、システムの異常な動作を継続的に監視し、迅速なパッチ適用とインシデント対応プロセスを維持することを推奨している。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

レッドレポート2026:ランサムウェアの暗号化が38%減少した理由

マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。

110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。