新たに発見されたゼロクリック攻撃がiOS 16を搭載したiPhoneユーザーを標的にしており、脅威アクターはユーザーの操作、表示されるプロンプト、またはリンクされたデバイスに関する警告なしにWhatsAppアカウントを乗っ取ることができる。
このキャンペーンは、複数のユーザーから「確認コードを共有したり、QRコードをスキャンしたり、新しいログインを承認したりしていないにもかかわらず、WhatsAppアカウントが最近の連絡先に不正な送金依頼を送信している」との報告を受けた後、イタリアのデジタルフォレンジック企業Forenserによって初めて記録された。
被害者がWhatsAppの「リンクされたデバイス」セクションを確認しても、不明なセッションは表示されておらず、ユーザーへの説明が困難な状況となっていた。
新たなゼロクリックWhatsAppアカウント
Forenserのレポートによると、確認されたすべてのケースは、iPhone 8からiPhone 14(SE、X、XR、XS、11、12、13の各バリアント含む)に至る幅広いモデルのiOS 16搭載iPhoneで発生していた。
攻撃者は最近のチャットへのアクセスのみを取得したと見られ、その情報を利用して説得力のある振込・支払い依頼を送信した。
一方、古いアーカイブ済みの会話は同様の形では露出していなかった。被害者は一貫して、侵害直前にWhatsApp上で不審なリンクを操作していないと述べており、ソーシャルエンジニアリングやQRコードの悪用に依存する一般的なデバイスリンク詐欺は除外された。
重要な突破口は、侵害されたスマートフォンから収集したiOSの統合ログとsysdiagnoseデータのフォレンジック分析から得られた。Forenserのチームは、まるでアプリケーションがWhatsAppのサーバーとセッションを繰り返し再ネゴシエーションしているかのように、WhatsAppが生成する連続した「再同期」イベントの異常なパターンを観測した。
このログパターンは、2つのクライアントが同一のWhatsAppアカウントを同時に奪い合っている状況と一致しており、正規のデバイスと攻撃者のクライアントの両方が、互いを完全に切断することなくセッションをアクティブに保とうとしている。
攻撃者のセッションは標準的なリンクされたデバイスとして登録されないため、アプリの「リンクされたデバイス」インターフェースに表示されず、アカウントが積極的に悪用されている最中でも被害者には追加のセッションが見えない理由を説明している。
Forenserは、この動作をiOS 16およびAppleプラットフォーム上のWhatsAppに影響する既知の脆弱性を利用した特定のエクスプロイトチェーンと関連付けた。最初のコンポーネントであるCVE-2025-43300は、AppleのImageIOフレームワークにおける範囲外書き込みの欠陥であり、不正な形式の画像が処理される際にメモリ破壊を引き起こす可能性がある。
Appleは、iOS、iPadOS、macOSに対する積極的な悪用が確認された後にパッチを適用した。2つ目のCVE-2025-55177は、iOSおよびmacOS上のWhatsAppの脆弱性であり、リンクされたデバイスの同期メッセージの認可が不十分なため、ユーザーの操作なしに任意のURLからの悪意あるコンテンツの処理が可能となる。
セキュリティアドバイザリによると、バージョン2.25.21.73以前のiOS向けWhatsAppおよびバージョン16.7.12未満のiOSビルドが脆弱であり、Forenserが分析した侵害されたデバイスで観測されたソフトウェアバージョンと一致している。
制御された実験室でのテストにおいて、研究者らはテスト用iPhoneで脆弱なiOS 16ビルドを実行することにより、攻撃の一部を再現した。攻撃の成功により、攻撃者はデバイスから直接WhatsAppセッション開始ハンドシェイクで使用される暗号素材を抽出し、それを再利用して別の場所に2番目のWhatsAppクライアントを立ち上げ、被害者のアカウントに静かにアタッチできることを実証した。
このフェーズでは、正規のスマートフォンと攻撃者のクライアントがWhatsAppのサーバーで継続的に再認証を行う綱引き状態を示す、同様の集中的な再同期イベントのシーケンスがログに現れる。
これは真のゼロクリックエクスプロイトチェーンであるため、「不審なリンクをタップしない」といった従来のアドバイスでは侵害を防ぐのに不十分である。主な緩和策は、iOSを利用可能な最新バージョンに更新し、WhatsAppをCVE-2025-43300とCVE-2025-55177の両方の修正を含む最新リリースにパッチ適用することである。
すでにアカウントが侵害されている可能性があるユーザーに対して、Forenserの観察結果はいくつかの実践的な手順を提案している。WhatsAppのチャットロックを有効にして機密会話へのアクセスを制限する、WhatsAppを再インストールするかアカウントを新しいデバイスに移行して不正セッションを排除する、そしてiOS 16から完全にパッチ適用されたiOSバージョンにアップグレードして根本的な脆弱性チェーンを除去するといった手順である。
WhatsApp経由で異常な送金依頼を受け取ったユーザーは、同じチャットで返信することを避け、代わりに電話で連絡先に確認することを推奨する。攻撃者が正規の所有者より先に活動を認識して返答する可能性があるためだ。
この事件は、かつては高度なスパイウェアや国家支援の活動と主に関連していたゼロクリック技術が、一般ユーザーを標的にした金融詐欺にますます悪用されていることを浮き彫りにしている。
公開されたCVE情報、概念実証の研究、およびパッチ未適用のiOS 16デバイスの多さにより、このゼロクリックWhatsAppキャンペーンのような高度なアカウント乗っ取り操作は、より広範な脅威アクターにとって実行しやすくなっている。
最新情報をすぐに入手するにはGoogle ニュース、LinkedIn、およびXでフォローし、GoogleでGBHを優先ソースに設定してください。
翻訳元: https://gbhackers.com/new-zero-click-whatsapp-account-takeover-attack-targets-ios-16-users/
