2025年3月、Googleの脅威インテリジェンスグループ(GTIG)が衝撃的なレポートを公開した。
2025年に悪用されたゼロデイ脆弱性は90件に上り、そのうち国家主導のサイバースパイ活動に使われたものの中で、中国が群を抜いてトップという結果が明らかになったのだ。これは個人や犯罪集団によるハッキングではない。
軍・諜報機関・民間企業が一体となった"国家の意思"によるデジタル侵略である。
日本ではあまり報じられないが、この脅威はすでに私たちの社会インフラのすぐそこまで迫っている。
2025年3月、Googleの脅威インテリジェンスグループ(GTIG)が衝撃的なレポートを公開した。2025年に悪用されたゼロデイ脆弱性は90件に上り、そのうち国家主導のサイバースパイ活動で使われたものの中で、中国が群を抜いてトップという結果が明らかになったのだ。
これは個人や犯罪集団によるハッキングではない。軍・諜報機関・民間企業が一体となった「国家の意思」によるデジタル侵略だ。日本ではあまり報じられないが、この脅威はすでに私たちの社会インフラのすぐそこまで迫っている。
目次
Googleレポートが示した衝撃の数字
GTIGの「2025 Zero-Days in Review」レポートによると、2025年に悪用が確認されたゼロデイ脆弱性は90件。2024年の78件から約15%増加し、依然として高止まりの傾向が続いている。
そのうち帰属が特定できた42件を詳細に分析すると、以下の構造が浮かび上がる。
| 攻撃主体 | 悪用件数 | 主な目的 |
|---|---|---|
| 商業スパイウェア業者(CSV) | 15件(+3件の可能性あり) | モバイル・ブラウザへの侵入ツール販売 |
| 国家主導スパイグループ | 12件(+3件の可能性あり) | 長期的な諜報・機密情報窃取 |
| 金銭目的のサイバー犯罪者 | 9件 | ランサムウェア・恐喝 |
注目すべきは、初めて商業スパイウェア業者が国家諜報グループを件数で上回った点だ。だが質と戦略性という意味では、国家によるハッキングはまったく別次元の脅威である。
中国:最も組織的・戦略的な国家ハッカー
圧倒的なゼロデイ活用能力
国家主導の攻撃者の中で、中国(PRC)系グループは2025年に少なくとも10件のゼロデイを悪用。これは2024年の5件から2倍に急増しており、過去10年間で最も積極的な国家行為者としての地位を維持している。
組織構造:国家・企業・大学の三位一体
GTIGのチーフアナリスト、ジョン・ハルトクイスト氏はこう指摘する。「中国には産業・学術・政府が組み合わさった重大なゼロデイ開発エコシステムが存在する」。これは単なるハッカー集団ではなく、国家戦略として体系化されたサイバー兵器開発体制だ。
中国のハッキング能力は主に以下の三つの柱で構成されている。
- 軍のネットワーク戦部隊:人民解放軍(PLA)傘下の専門部隊
- 国家安全部(MSS)・公安部(MPS)系の請負業者:I-Soonなど民間サイバー企業
- 民間ハッカー集団:政府と利害が一致する半官半民グループ
具体的な攻撃手法と標的
中国の国家ハッカーが特に好む標的は、ネットワーク機器・ファイアウォール・VPNアプライアンスといった「エッジデバイス」だ。なぜか。これらの機器は組織のセキュリティ境界に位置しながら、通常のエンドポイント検知ツール(EDR)が導入されていないケースが多いためだ。一度侵入されると、長期間気づかれないまま「潜伏」される。
代表的な事例を紹介しよう。
① UNC3886:Juniperルーターへのバックドア埋め込み
中国系スパイグループ「UNC3886」は、Juniper NetworksのMXルーターの脆弱性(CVE-2025-21590)を悪用。巧妙にも「合法的なプロセスのメモリ内に悪意あるコードを注入する」という高度な手法で、セキュリティ保護を回避した。このグループは防衛・技術・通信企業を主な標的とし、米国とアジアの組織に対して長期間の諜報活動を展開している。
② UNC5221:Ivanti Connect Secureへの侵入
「UNC5221」はリモートアクセス製品のIvanti Connect Secureの脆弱性(CVE-2025-0282)を突いた攻撃を実施。企業のVPN経由で内部ネットワークに侵入し、機密情報を窃取した。
③ UNC6201(BRICKSTORM/GRIMBOLT):知的財産の組織的窃盗
最も深刻なのがこのグループだ。標的企業から単に機密データを盗むだけでなく、ソースコードや独自開発ドキュメントなどの知的財産を狙う。目的は明確で、そのソースコードから新たな脆弱性を発見し、将来のゼロデイ攻撃に活用するためだ。これはGTIGが「ゼロデイ開発の新たなパラダイム」と警告する手法である。
④ Volt Typhoon:インフラへの長期潜伏
「Volt Typhoon」は電力・水道・通信などの重要インフラに侵入し、長期にわたって「生活必需品のように」潜伏を続ける。検知を回避するため、OSに標準搭載されているツールだけを使う「Living off the Land(LotL)」戦術を多用する。目的は情報収集にとどまらず、有事の際に破壊活動を実行できる「橋頭堡」の確保とされる。
⑤ Salt Typhoon:200カ国以上での通信傍受
2025年の衝撃的な事案として、「Salt Typhoon」が80カ国以上の200を超える標的に侵入したことが報告されている。米国議会議員の電話や、政治家の端末へのアクセスも確認されており、その情報収集範囲の広さは前例がない規模だ。
◆ 中国ハッキングの国家戦略との連動
重要なのは、これらの活動が場当たり的なものではないという点だ。欧州のシンクタンク「MERICS」の分析によれば、中国のサイバー攻撃のターゲット選定は「中国製造2025」や5カ年計画といった国家の産業・技術戦略と一致している。半導体、医薬品、航空宇宙、AI──中国が国産化を目指す分野の企業が、まさにサイバー攻撃の最優先標的になっているのだ。
◆ 日本への影響
日本も例外ではない。2021年には中国人民解放軍が約200の日本企業・研究機関(JAXA含む)へのサイバー攻撃を命じたと日本政府が認定。2024年には日本の警察庁が8カ国の政府機関と共同で「APT40」に関する勧告を発表した。シンガポールでは2025年にUNC3886が重要インフラを攻撃したことを閣僚が公式に認めており、アジア全体への脅威が現実化している。
ロシア:情報戦と軍事作戦を統合するサイバー戦争の先駆者
ロシアのサイバー戦略は「情報対立(Information Confrontation)」という概念を核心に持つ。これはサイバー作戦・心理作戦・電子戦・通常軍事作戦を統合したハイブリッド戦争の一部だ。
ロシアのサイバー作戦の特徴
- ウクライナ戦争との連動:「Sandworm(APT44)」などのグループがウクライナのインフラをサイバー攻撃で破壊しながら、ドローン・ミサイル攻撃を組み合わせる。TelegramやSignalから暗号化メッセージを抜き取る工作も確認されている。
- NATO諸国への浸透:2025年5月、米英仏独などがNATOの防衛支援ネットワークを狙うロシアのサイバーキャンペーンについて共同声明を発表。11カ国がロシア軍参謀本部情報総局(GRU)系グループによる防衛・輸送インフラへの攻撃を認定した。
- 選挙介入・世論操作:偽情報キャンペーン、フィッシングによる政治家の端末侵入、SNSでの世論誘導工作が継続的に行われている。
- エネルギーインフラへの破壊工作:2025年8月にはポーランドの水力発電所をロシア系ハクティビストが攻撃し、ノルウェーのダムへの攻撃もロシアに帰属された。
注目すべきは「UNC2165」というグループだ。Evil Corpと重複するとされるこの金銭目的のロシア系グループが、WinRARのゼロデイ脆弱性(CVE-2025-8088)を悪用した事例も今回のGTIGレポートに記録されている。ロシアでは国家機関、愛国的ハッカー、サイバー犯罪者の境界線が意図的に曖昧にされており、攻撃の帰属認定を難しくする設計になっている。
イラン:報復型・妨害型の中東発サイバー脅威
イランのサイバー能力は2010年の「Stuxnet」攻撃(米イスラエルによるウラン濃縮設備へのサイバー破壊工作)への対抗として急速に発展した。現在、イランの国家系ハッカーは単なるスパイ活動を超え、破壊的な攻撃やAIを活用した情報工作まで手がけている。
イランのサイバー作戦の特徴
- CharmingKitten(APT35)の航空宇宙産業スパイ:LinkedInで偽の採用担当者を装い、ターゲットにマルウェア入りのZIPファイルを送り付ける「ドリームジョブ作戦」を展開。この手法は北朝鮮の戦術を模倣したものとされる。
- AI(生成AI)の兵器化:イランのハッカーグループがGoogleのGemini AIを悪用してプロパガンダコンテンツを生成し、特定の地政学的ナラティブを広める情報工作を実施。米国政策文書に偽装したAI生成のマルウェアPDFも確認されている。
- 中東・欧米での活発な活動:2025年3月にはイラク政府機関やイエメン通信会社へのスパイ活動、6月にはクルド人・イラク政府ネットワークへの8年間にわたる持続的侵入が明らかになった。
- 重要インフラへの破壊攻撃:米国の金融機関へのDDoS攻撃(Operation Ababil)、水道施設へのハッキングなど、民間インフラを狙った攻撃も辞さない姿勢を示している。
北朝鮮:ハッキングで国家財政を賄う「犯罪国家」
北朝鮮のサイバー作戦は他の国家と根本的に異なる特徴を持つ。スパイ活動だけでなく、外貨獲得のための金銭的ハッキングが国家の重要な収入源となっているのだ。
- 暗号資産窃盗:2022年には17億ドル相当の暗号資産を窃取(過去最大規模)。資金は核・ミサイル開発に流用されているとされる。
- IT労働者偽装作戦:北朝鮮のIT技術者が欧米企業にリモートワーカーとして潜入。給与を受け取りながら企業内部情報へのアクセスを確保し、スパイ活動や恐喝に及ぶケースが2025年も続出している。
- ランサムウェア攻撃:資金調達手段としてのランサムウェア活動が継続。防衛・政府機関をターゲットにした欧州への攻撃拡大も2025年に確認された。
2026年に向けた新たな脅威:AIが「武器化」される時代
GTIGは今後の展望として、AIがサイバー攻撃を根本的に変えると警告している。
現時点では、国家系ハッカーによるAI活用は主に「偵察の自動化」「マルウェアのコード変換(シグネチャ検知回避)」「フィッシングメールの品質向上」といった生産性強化にとどまっている。しかしAIが脆弱性発見とエクスプロイト開発を自動化・加速させる段階に入れば、ゼロデイの発見から攻撃実行までのサイクルが飛躍的に短縮される可能性がある。
GTIGのアナリストは「防御側は"もし攻撃されたら"ではなく"いつ攻撃されるか"を前提に備えよ」と結論づけている。
まとめ:日本が知るべき「静かな戦争」の現実
国家によるサイバー攻撃は、爆発音のない「静かな戦争」だ。その脅威を整理すると以下のとおりだ。
| 国家 | 主な戦術 | 主な目的 | 特徴的な事例 |
|---|---|---|---|
| 中国 | ゼロデイ・エッジデバイス侵入・知財窃取 | 長期スパイ・技術盗用・有事準備 | Salt Typhoon・Volt Typhoon・UNC3886 |
| ロシア | ハイブリッド戦争・インフラ破壊・選挙介入 | 地政学的不安定化・軍事支援 | Sandworm・GRU系グループ |
| イラン | 標的型フィッシング・AI情報工作・DDoS | 報復・破壊・反体制派監視 | CharmingKitten・APT35 |
| 北朝鮮 | ランサムウェア・暗号資産窃盗・偽IT労働者 | 外貨獲得・核開発資金調達 | Lazarus Group・Kimsuky |
日本はこの「静かな戦争」の最前線に位置している。半導体、防衛技術、宇宙開発──これらすべてが中国の産業戦略と競合する分野であり、サイバー攻撃の格好の標的だ。政府・企業・個人それぞれのレベルで「自分ごと」として認識することが、今最も求められている。
【参考情報】本記事はGoogle Threat Intelligence Group「2025 Zero-Days in Review」(2026年3月5日公開)、米CISA勧告、The Hacker News、BleepingComputer、Recorded Future Newsなど複数の一次情報源をもとに作成しています。