2025年のゼロデイ悪用、商用サーベイランスベンダーによるものが優勢に

2025年のゼロデイ悪用、商用サーベイランスベンダーによるものが優勢に

Decipher – March 5, 2026

スパイウェアなどの開発・提供で知られる商用サーベイランス市場が発展し続ける中、2025年に悪用されたゼロデイ脆弱性のうち、商用サーベイランスベンダー（CSV）が悪用に関与したものの数は国家支援型サイバースパイが悪用した件数よりも多かったという。Googleが新たなレポートの中で伝えている。

Googleによれば、2025年に同社が追跡した42件のゼロデイ脆弱性のうち、商用サーベイランスベンダー（CSV）に悪用されたと見られるものは18件。従来ゼロデイ悪用において優勢だった国家支援型スパイグループの件数（15件）を初めて上回ったという。

PegasusスパイウェアのメーカーであるNSO Groupや、Predatorスパイウェアで有名なIntellexaといったCSVは、ゼロデイエクスプロイトを介して配布可能なスパイウェアを政府機関や諜報サービスなどの顧客に販売している。Googleによれば、多くの場合、CSVはゼロデイエクスプロイトだけでなく、ターゲットのデータを特定し、抽出するために必要な後続ツールも含めた攻撃ライフサイクル全体のためのターンキーソリューションを提供しているとされる。これまでであれば、こうした機能を内製で開発する場合、時間や金銭、スキルへの膨大な投資が必要だった。しかし近年では、CSVの存在によってこれらがますます入手しやすくなってきているという。

一方で、中国、ロシア、UAEなどの国家支援型スパイアクターが引き続き重要なゼロデイエクスプロイトの開発者・利用者である点には注意が必要。なお、こうしたグループは特にエッジデバイスやセキュリティアプライアンス製品をゼロデイ攻撃の標的にすることが多いのに対し、CSVは主にモバイルやブラウザを狙うなど、両者のゼロデイ悪用・配布手法にはいくつかの相違点がある。

Googleの研究者は、悪用対象となり得る側のベンダーがさらなるセキュリティ保護を実装しようとも、CSVは今後もそれにあわせて柔軟にテクニックを調整してくるだろうと指摘。ソフトウェアやデバイス、アプリケーションの数が増えることでアタックサーフェスは拡大し、たった1つでも弱点があれば悪用が成功させられる状態になっていると述べている。