AIBIZ
規制・社会

ゼロデイ攻撃の半数が企業の守りを直撃

#ゼロデイ攻撃#サイバーセキュリティ#VPN#ファイアウォール#AI導入#クラウド#フィッシング
記事バナー画像

POINT

  • Googleの2025年追跡データで、ゼロデイ攻撃の48%が企業向け技術を標的にしており、そのうち約半数はファイアウォールやVPNという"守る側の機器"そのものを狙っていた。
  • Cisco・Fortinet・Ivanti・VMwareといった主要ベンダー製品が悪用され、Harvard大学やAmerican Airlines系列企業など大組織でも人事データが流出した。
  • AI導入で増えるクラウド接続や外部サービス連携は攻撃面を広げる。一般社員が「自分ごと」として理解すべき脅威の構造と、今日からできる行動を整理する。

ゼロデイの半数が「企業の守り」を直撃している

Googleの年次レポートが2026年3月に公開した数字は、IT部門だけが気にすればいい話ではない。2025年に追跡されたゼロデイ全体の48%が企業向け技術に含まれており、さらにそのうち約半数は、外部からの侵入を防ぐはずのファイアウォールやVPN機器そのものを狙っていた。

防御のための装置が攻撃口になる。これが現在の脅威環境の核心だ。

Googleが「最も狙われたベンダー」として名指ししたのは、Cisco、Fortinet、Ivanti、VMwareの4社。いずれも近年、自社製品が顧客ネットワーク内で悪用されたことを認めている。手口は共通していて、入力バリデーションの不備や不完全な認可プロセスという「古典的な穴」を突く攻撃だ。最新AIを駆使した高度な手法ではなく、実装の甘さが起点になっている。

残り半分の企業向けゼロデイでは、Clopという恐喝グループがOracle E-Business Suiteを狙ったキャンペーンが代表例として挙げられた。このハックで数十社の人事データが流出し、Harvard University、American Airlinesの子会社Envoy、The Washington Postが被害を受けた。人事データには氏名・住所・給与情報が含まれることが多く、社員一人ひとりへの影響は直接的だ。

2025年 ゼロデイ攻撃の標的内訳
ゼロデイ攻撃 標的内訳 消費者向け製品 52% 企業向け:防御機器 (約24%) 外部からの侵入を防ぐFWやVPNが標的に 狙われた主要ベンダー: Cisco, Fortinet, Ivanti, VMware 企業向け:業務アプリ等 (約24%) Oracle E-Business Suite等を狙う攻撃 被害組織の例: Harvard Univ., Envoy, The Washington Post ゼロデイ攻撃 標的内訳 消費者向け 52% 防御機器 24% 業務アプリ 24% 企業向け:防御機器 (約24%) 外部からの侵入を防ぐFWやVPNが標的に 狙われた主要ベンダー: Cisco, Fortinet, Ivanti, VMware 企業向け:業務アプリ等 (約24%) Oracle E-Business Suite等を狙う攻撃 被害組織の例: Harvard Univ., Envoy, The Washington Post
企業向け技術を狙った攻撃の約半数が、ファイアウォールやVPNなどの防御機器を標的としている。

個人のスマホも標的になっている

企業向け技術が48%なら、残りの52%はMicrosoft・Google・Appleを含む消費者向け製品で見つかったゼロデイだ。OSで発見されるものが多く、モバイルデバイスでは前年より件数が増えた。

2026年3月に明らかになったロシア系ハッカー集団UNC6353の事例は、スマートフォンへの攻撃がいかに精緻になったかを示している。Google・iVerify・Lookoutの研究者が共同で分析したこのキャンペーンでは、「Darksword」と呼ばれるツールキットが使われた。侵害されたウェブサイトを閲覧するだけで感染し、パスワード・写真・WhatsApp/Telegramのメッセージ・ブラウザ履歴、さらに暗号資産ウォレットまでが抜き取られる設計だ。

Lookoutが指摘した点が重要で、Darkswordは「常時監視」ではなく、感染後に素早く情報を盗んで消えるよう設計されている。端末上の滞留時間は「数分」程度になり得るという。ウイルス対策ソフトが検知する前に仕事を終える、という発想だ。

標的はウクライナのiPhoneユーザーだったが、攻撃の手法自体に地理的な制約はない。同様のアーキテクチャは他の攻撃者が転用できる。

AI導入がセキュリティ負債を膨らませる理由

企業のAI導入は、クラウドAPIへの接続、外部SaaSとのデータ連携、社員個人のデバイスからのアクセスを一気に増やす。攻撃者から見ると「入口の数が増える」ことを意味する。

ファイアウォールやVPNは、まさにその増えた接続を管理するために使われる機器だ。しかし前述の通り、これら機器自体がゼロデイの最多標的になっている。AI活用のために急いでクラウド接続を広げ、古いVPN機器を使い続けるという構成は、理論上の防御と実際のリスクが逆転した状態になりかねない。

「セキュリティ負債」とは、対処を後回しにした脆弱性が積み重なった状態を指す。AIツールを次々と試す一方で、認証設定やアクセス権限の見直しが追いつかない組織では、この負債が静かに膨らんでいる。問題が表面化するのは、攻撃が成功した後だ。

社員が直接踏む可能性がある地雷

Wi-Fiのクライアント分離機能に関する研究(NDSSシンポジウム発表のAirSnitchに関する論文)は、同一ネットワーク上のデバイス間通信を分離する仕組みが想定どおりに機能しない場合があることを示している。カフェや共有オフィスのWi-Fiで仕事のデータを扱うリスクは、感覚的な「なんとなく怖い」ではなく、技術的に裏付けられた問題だ。

AIツールへのログインをフリーWi-Fiで行い、そのセッション情報が同一ネットワーク上の別ユーザーに漏れる、という経路は現実的なシナリオとして成立する。

「自分は狙われない」という前提が崩れた

Darkswordのキャンペーンについて、研究者のRocky Coleは「特定のウクライナのウェブサイトを訪れた人全員が感染対象だった」と述べた。高度に個人を絞り込んだ攻撃ではなく、地域と行動パターンで網を張る手法だ。企業規模や役職に関係なく、特定のサービスを使う人が対象になる。AIツールの利用者コミュニティや業種別フォーラムを踏み台にした類似の攻撃は、日本でも起こりうる。

AI導入がセキュリティ負債を膨らませる経路
接続急増 AI導入・クラウドAPI 接続が急増 1 アクセス増 外部SaaS連携・個人 端末アクセス増加 2 リスク拡大 攻撃者から見た 入口(攻撃面)が拡大 3 依存集中 FW・VPN機器への 依存が急激に高まる 4 標的化 機器自体がゼロデイ 攻撃の最多標的に 5 管理限界 権限見直しが遅れ セキュリティ負債蓄積 6 被害発生 侵害成功後に被害が表面化 (Clopによる人事データ流出など) 7 接続急増 AI導入・クラウドAPI接続が急増 1 アクセス増 外部SaaS連携・個人端末アクセス増加 2 リスク拡大 攻撃者から見た入口(攻撃面)が拡大 3 依存集中 FW・VPN機器への依存が急激に高まる 4 標的化 機器自体がゼロデイ攻撃の最多標的に 5 管理限界 権限見直しが遅れセキュリティ負債蓄積 6 被害発生 侵害成功後に被害が表面化 (Clopによる人事データ流出など) 7
AIツールの導入を起点に、攻撃面の拡大から被害の表面化に至るまでのプロセス

一般社員が今日から変えられること

技術的な対策はIT部門の領域だが、リスクを増やさない行動は誰でも選べる。

  • 業務で使うAIツールやクラウドサービスへのログインは、信頼できる有線または会社支給のWi-Fiに限定する
  • 会社支給デバイスのOSとアプリのアップデートは、通知が来たその日に適用する(パッチ公開後は攻撃が急増するため、放置期間が短いほど守られる)
  • AIツールに業務上の個人情報や顧客データを入力する前に、そのサービスのデータ保存ポリシーを確認する
  • フィッシングメールのリンクをクリックしてしまった場合、「大丈夫だろう」と放置せず、すぐにIT部門に報告する

ClopがOracle製品を悪用して人事データを抜いた事例が示すように、攻撃者が狙うのは「最も価値があるデータ」ではなく「最も抜きやすいデータ」だ。社員一人の行動が、守りの最後の一線になる場面は確実に存在する。

まとめ

Googleのデータが示したのは、企業のセキュリティ機器そのものが攻撃対象になっており、しかもその手口が「古典的な実装の甘さ」を突くものだという事実だ。AI導入で接続が増えるほど、この構造的リスクは高まる。

IT部門に任せきりにせず、自分のデバイス・ネットワーク・ログイン行動を見直す。それが、組織全体のセキュリティ負債を減らす最初の一歩になる。

参照元