※ 本ブログは、2026年2月23日にHP WOLF SECURITY BLOGにポストされた Reviewing Zero-day Vulnerabilities Exploited in Malware Campaigns in 2025 の日本語訳です。

2026年に入ってわずか2か月が経過したにもかかわらず、実環境におけるゼロデイ攻撃の勢いは衰えていません。先月、MicrosoftはCVE-2026-21509に対する緊急パッチを公開しました。これはOfficeに影響を及ぼす深刻度の高いセキュリティ機能のバイパスの脆弱性で、脅威アクターによって悪用（エクスプロイト）されていました。2月には、Windows、Office、その他のアプリケーションに影響を及ぼすさらに6件のアクティブに悪用されているゼロデイ脆弱性に対してもパッチが適用されました。

本ブログ記事では、一歩引いて2025年のゼロデイ攻撃の動向を振り返り、企業がそれらに対して積極的に防御する必要性を強調するとともに、その実現方法について説明します。本分析では、OSコンポーネントやWebブラウザに影響を与えるものなど、PC上でエクスプロイトされるソフトウェアの脆弱性に焦点を当てました。これらは、攻撃者が目的（ランサムウェアの展開やデータ窃取など）を達成するための直接的な経路を提供することが多いため、魅力的な標的となります。

• 2025年も、エンドポイントのソフトウェアに対する積極的なゼロデイ攻撃の傾向が続きました。ベンダーがパッチをリリースするまで、組織が長期間、しばしば数ヶ月間にわたり無防備な状態に置かれるケースが頻発しました。パッチの適用は企業のアタックサーフェスを縮小しますが、ゼロデイ攻撃を防ぐにはそれだけでは不十分です。
• 2025年には、合計25件のMicrosoft Windowsオペレーティングシステムの脆弱性が実環境でエクスプロイトされました。ある攻撃キャンペーンでは、偽のChatGPTデスクトップアプリがユーザーを実行ファイルへ誘導し、Windowsのゼロデイ脆弱性をエクスプロイトしてランサムウェアを展開。感染開始から数秒でSYSTEM特権を取得することに成功しました。
• 2025年にはGoogle Chromeの8つのゼロデイ脆弱性が攻撃者によって積極的にエクスプロイトされ、EdgeやOperaを含むすべてのChromiumベースのブラウザに影響が及びました。脆弱性がエクスプロイトされるまでの期間は少なくとも87日間（年間の22%）に及びました。
• Googleの脅威分析グループ（TAG）による公開レポートは、監視目的でのブラウザのゼロデイ脆弱性の継続的なコモディティ化を裏付けるものでした。

2025年には、2024年と比較して、実際にエクスプロイトされる脆弱性が大幅に増加しました。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）の記録によれば、50社以上のベンダーから190件を超える新たな脆弱性が発見され、これらが実際にエクスプロイトされました（図1）。

2025年、CISAは既知の悪用された脆弱性（KEV）カタログに、30件以上のWindowsオペレーティングシステムの脆弱性を追加しました。これらの脆弱性の大部分はカーネルコンポーネント、特にWindowsの共通ログファイルシステム（CLFS）ドライバーを標的としていました。この汎用ログサービスは複雑性から、エクスプロイト開発者にとって好まれる標的となっています。

2025年4月、MicrosoftはCLFSドライバーにおける重大な権限昇格の脆弱性CVE-2025-29824に対する修正プログラムを公開しました。しかしながら、修正プログラムがリリースされるまでに、この脆弱性は脅威グループ Storm-2460 によって既に武器化されていたことが判明しています（図2）。この脆弱性をエクスプロイトした攻撃キャンペーンは早くも2025年1月に確認されており、発見されるまでの間にどれほどの期間悪用されていたかは不明です。さらに、パッチ公開後も新たな攻撃が報告されており、攻撃者が即時パッチ適用を行わなかった組織を標的にしようとしたことが示唆されています。

この脆弱性は、ドライバによるログファイルオブジェクトの処理における競合状態に起因する、解放されたメモリを参照するメモリ破壊（use-after-free）の欠陥です。エクスプロイトは「ヒープ風水」と呼ばれる技術を利用し、意図的に制御されたデータをカーネルメモリにスプレーして解放済みメモリアドレスを占有します。ドライバがダングリングポインタ（dangling pointer）にアクセスすると、攻撃者が制御するデータを読み取り、プロセス トークンの上書きを可能にする"write-what-where"の基本要素を提供し、SYSTEM特権の取得を実現します。

業務へ与えた影響は甚大でした。Storm-2460は、2022年に初めて記録されたモジュラー型インプラントであるPipeMagicバックドアを利用してエクスプロイトを配信しました。攻撃チェーンは通常、偽のChatGPTデスクトップツールを含むトロイの木馬化されたソフトウェアのダウンロードから始まり、権限昇格のためのCLFSエクスプロイト、LSASSによる認証情報ダンプ、そして最終的にPlayランサムウェアの拡散へと続きました。特筆すべきは、Windows 11 バージョン 24H2 は、この特定のエクスプロイト手法の影響を受けない点です。NtQuerySystemInformation 内の特定のシステム情報クラスへのアクセスは、SeDebugPrivilege 権限を持つユーザーに制限されているためです。

CLFSドライバーは繰り返し標的とされてきました。本件は、2025年3月に修正されたWin32カーネルサブシステムの権限昇格脆弱性であるCVE-2025-24983に続き、PipeMagicを介して提供された2件目のWindowsゼロデイ脆弱性となります。

Webブラウザは、インターネット上の信頼できないコンテンツを処理するため、主要なアタックサーフェスであり続けています。2025年には、GoogleがChromeにおいて8件のゼロデイ脆弱性を修正しましたが、そのうちのいくつかは個人を対象としたいわゆる商業スパイウェアベンダーに関連していました。

GoogleのV8 JavaScriptエンジンは、ジャストインタイム（JIT）コンパイルを用いてJavaScriptを高性能なマシンコードへ変換します。しかしながら、この最適化パイプラインには複雑性が伴い、攻撃者によって繰り返しエクスプロイトされてきました。2025年9月、Google TAGはCVE-2025-10585を発見しました。これはV8における型混同の脆弱性で、細工されたHTMLページを介したヒープ破損を可能とするものでした。この欠陥は、活発なエクスプロイトが確認されたため発見から24時間以内に修正されました。これは脅威の緊急性を浮き彫りにするものです。11月にはCVE-2025-13223が発見され、これは今年7件目となるChromeのゼロデイ脆弱性でした。Googleの研究者は、この脆弱性がスパイ活動に関連していると指摘しています。おそらく、政府機関向けにエクスプロイトチェーンを販売する商用スパイウェアベンダーによるものと考えられます。

型混同は、JITコンパイラが型チェックを省略するよう仕向けられた場合に発生します。攻撃者は、ある型のオブジェクトを作成する一方で、エンジンを欺いて別の型のオブジェクトとしてアクセスさせるJavaScriptを作成します。これにより、任意のメモリの読み書きが可能となります。この手法は、ASLRやDEPといった標準的な保護機能を回避し、ブラウザプロセス内でのコード実行を可能にするために利用される可能性があります。これらの脆弱性はV8エンジンに影響するため、Microsoft Edge、Brave、Arc、Opera、Vivaldiを含むすべてのChromiumベースのブラウザは、各ベンダーが更新をリリースするまで脆弱な状態にありました。

2025年3月、Kasperskyの研究者は標的型スパイ活動"Operation ForumTroll"の調査中にCVE-2025-2783を発見しました。この脆弱性はWindows上のChromeのMojo IPCコンポーネントに影響を与え、ハンドル検証の不備を通じてサンドボックス回避を可能にしていました。

現代のブラウザは多層防御アーキテクチャを採用しています。たとえ攻撃者がV8の型混同バグのような脆弱性を突いてコード実行に成功した場合でも、そのコードは厳重に制限されたサンドボックス内で実行されるため、ファイルや認証情報、他のプロセスへのアクセスは不可能です。被害者のシステムを侵害するには、攻撃者はこのサンドボックスを回避する第二の脆弱性をエクスプロイトする必要があります。CVE-2025-2783はまさにその手段を提供し、攻撃者がChromeのサンドボックスを完全に回避することを可能にしました。

これにより、サンドボックス回避はレンダラーの脆弱性のみをエクスプロイトする攻撃よりも、はるかに危険な脅威となります。V8の脆弱性がサンドボックス内に限定されている場合、現在のブラウジングセッションのデータが盗まれる可能性がありますが、サンドボックス回避が成功すると、システム全体へのアクセスが与えられます。具体的には、認証情報、ファイル、そして永続的なマルウェアをインストールする能力が得られます。

Operation ForumTrollの攻撃チェーンは、非公開のレンダラー脆弱性（Kasperskyが入手できなかったもの）とサンドボックス回避のためのCVE-2025-2783を組み合わせ、最終的にTrinperバックドアを投入しました。TaxOff/APT Team 46と特定された脅威アクターは、オンラインフォーラムへの招待を装った標的型フィッシングメールを送信しました。脆弱なブラウザでリンクを開くと、マルウェアを配信するエクスプロイトチェーンがトリガーされました。

この調査を受け、Mozilla社はFirefoxのIPCコード内に類似の脆弱性（CVE-2025-2857）を発見し、直後に修正パッチを適用しました。

オンラインで入手可能なデータから、最小脆弱性ウインドウ、すなわち実環境で最初に検知されたエクスプロイトからパッチが利用可能になるまでの時間を算出することができました。ChromiumベースのWebブラウザのユーザー（世界全体のブラウザシェアの約95%を占めます）には、合計87日間（年間の22%）の脆弱性ウインドウが存在していました。この期間中、ユーザーは少なくとも1つの実環境で積極的に悪用されているゼロデイ脆弱性に晒されていた可能性があります。

2025年のエクスプロイト手法の傾向を検証した結果、ゼロデイ攻撃から防御するには、検知とパッチ適用だけでは不十分であることが明らかになりました。脆弱性がパッチが存在する前に武器化される場合、事後対応型の脆弱性管理では追いつけません。Chromeの87日間の脆弱性ウインドウ（ユーザーの潜在的な危険に晒された期間が1年のほぼ4分の1に及びました）は、パッチ適用のみでは限界があることを示しています。つまり、ベンダーがまだ修正していない脆弱性にはパッチを適用できないという問題です。

なお、ブラウザーのゼロデイ脆弱性を入手し、悪用することは容易ではありません。これらのエクスプロイトの開発には高度な専門知識が必要であり、通常は入手コストも高額です。しかしながら、2025年に確認された攻撃キャンペーンは、こうした手法が執念深い攻撃者の能力の範囲外ではないことを示しています。

このため、HPは検知のみに依存するのではなく、保護を最優先とする技術に多大な投資を行ってきました。セキュリティ業界が脅威の迅速な特定に重点を置く中、我々は攻撃者が未知の脆弱性をエクスプロイトする場合、検知は本質的に遅すぎると認識しています。我々のアプローチは、侵害を検知することを期待するのではなく、侵害が発生したと仮定し、封じ込めと隔離を優先するものです。

HP Sure Click Enterprise および Wolf Pro Security は、マイクロ仮想化を採用し、すべてのブラウザタブおよびドキュメントを、使い捨てのハードウェア隔離の仮想マシン内で起動します。この重要性を理解するために、システム全体を侵害するために必要な攻撃チェーンを考えてみましょう。攻撃者はまず、コード実行の脆弱性（V8の型混同など）をエクスプロイトしてブラウザのサンドボックス内でコードを実行し、次にサンドボックス回避（CVE-2025-2783など）を利用してホストシステムに侵入する必要があります。

Sure Clickがある場合には、攻撃者が両方のエクスプロイトを成功裏に連鎖させ、コード実行を達成しブラウザのサンドボックスを回避したとしても、攻撃者はユーザーのシステム上ではなく、ホストOSへのアクセス権を持たない隔離されたマイクロVM内に留まります。通常ならシステム全体へのアクセス権を付与するはずのサンドボックス回避も、攻撃者を別の封じ込め層に閉じ込める結果となります。ユーザーがタブを閉じると、VMとマルウェアは即座に破棄されます。攻撃がアーキテクチャで封じ込められているため、Chromeの87日間にわたるゼロデイ脆弱性の曝露は意味をなさなくなります。

ゼロデイ攻撃や増加するセッションクッキー窃取攻撃の脅威を考慮すると、企業はシステム管理者が使用する管理コンソールやリモートアクセスアプリケーションなど、特権アプリケーションやシステムへの攻撃者のアクセスを阻止する必要があります。HP Sure Access Enterpriseは、ハードウェアで強制される隔離技術を採用し、ホストOSがマルウェアに感染した場合でも、クリティカルなアプリケーションを保護します。例えば、CVE-2025-29824のようなCLFSエクスプロイトにより攻撃者がホスト上でSYSTEM特権を取得した場合でも、Sure Accessで保護されたアプリケーションのセッショントークンへのアクセスや窃取は不可能となります。

Author : HP Wolf Security

監訳：日本HP