法科学的に確認されたゼロクリックキャンペーンが、iOS 16を搭載したiPhoneのWhatsAppアカウントを積極的に乗っ取っており、攻撃者は被害者がタップ、スキャン、または何らかの操作を一切行うことなく、完全なセッション制御を掌握している。
イタリアのデジタルフォレンジクス企業Forenserは、複数のiPhoneユーザーが自分のWhatsAppアカウントから連絡先へ不正な送金依頼が送信されたと報告した後、このパターンを初めて特定した。
影響を受けたすべてのユーザーは共通のプロファイルを持っていた。iPhone 8からiPhone 14(X、XR、XS、11、SE、12、13の各バリアントを含む)にわたる機種でiOS 16の何らかのバージョンを実行しており、アプリの「リンク済みデバイス」セクションには不審な項目が一切表示されていなかった。
アカウントは別の誰かによって積極的に使用されていたにもかかわらず、被害者には新しいデバイスを承認した、QRコードをスキャンした、あるいは確認コードを共有したという記録が一切なかった。
侵害されたデバイスのiOS統合ログおよびsysdiagnoseデータのフォレンジック分析により、攻撃の技術的な特徴が明らかになった。WhatsAppの「再同期」イベントの異常かつ継続的なストリームが観測され、2つの別々のクライアントが同一セッションの制御を同時に維持しようとしていることを示していた。
正規のデバイスと攻撃者のクライアントが絶え間なくWhatsAppのサーバーに対して繰り返し認証を行っており、これがまさに被害者の番号からメッセージが送信されていた原因である。
同時に、「リンク済みデバイス」の画面は空のままだった。攻撃者のセッションは、従来のリンク済みデバイスとして登録されることはなかった。
Forenserチームはこの攻撃を、2つの脆弱性を連鎖させたエクスプロイトチェーンにまで遡った。1つ目はCVE-2025-43300で、AppleのImageIOフレームワークにおける深刻な境界外書き込みの欠陥であり、AppleがiOS全体で画像の処理とプレビューに使用しているコアライブラリに存在する。
この脆弱性を悪用した攻撃者は、細工した悪意あるDNG画像ファイルを配信してメモリ破壊を引き起こし、許可された境界を超えたメモリ領域にデータを書き込み、機密の暗号マテリアルを抽出する経路を開くことができる。
Appleはこの欠陥がiOS、iPadOS、macOSにわたってゼロデイとして積極的に悪用されていることを確認した後、2025年8月にパッチを適用した。しかし、Forenserが分析したすべてのデバイスは、依然としてパッチ未適用のiOS 16ビルドを実行していた。
2つ目の脆弱性はCVE-2025-55177で、WhatsApp固有の欠陥であり、リンク済みデバイスの同期メッセージに対する不完全な認可に起因している。
これにより、認証されていないリモートの攻撃者が改ざんされた同期メッセージを再送するだけで、ターゲットからの操作を一切必要とせず、任意のURLからコンテンツを処理するよう被害者のデバイスに強制することができた。
この欠陥は、iOS版WhatsAppの2.25.21.73未満およびMac版WhatsAppの2.25.21.78未満のバージョンに影響する。
CVE-2025-43300とCVE-2025-55177を連鎖させることで、攻撃者は被害者のアカウントに不可視の状態で紐付けられた新たなWhatsAppクライアントを別の場所でインスタンス化するために必要な暗号ハンドシェイクマテリアルを窃取することができる。
Forenserは、脆弱なiOSバージョンを実行しているテストデバイスを使用した管理された実験室環境で攻撃の一部を再現し、その結果は実際のケースと正確に一致した。
WhatsAppは、3か月間で約200人が標的にされたことを認め、これを「高度に選択的かつ高度な作戦」と説明した。
デバイスの最大サポートOSがiOS 16であるためすぐにアップグレードできないユーザーは、デバイスの交換を緊急の優先事項として扱うべきである。Appleはこの問題に対するiOS 16専用のパッチを発行していない。
更新されたデバイスにWhatsAppを再インストールして新たな認証を完了することで攻撃者の並列セッションを排除できる。また、WhatsAppの「2段階認証」を有効にすることで、攻撃者が将来の登録を完了するために突破しなければならない認証上のハードルが加わる。
ジャーナリスト、経営幹部、セキュリティ専門家など、リスクが高い人物は、Appleのロックダウンモードの有効化を検討すべきである。このモードはゼロクリックエクスプロイトが依存する自動プロトコル処理の種類を無効化する。
重要な運用上の警告として、連絡先があなたのWhatsApp番号から不審な送金依頼を受け取った場合、同じチャットで返信して確認しようとしてはならない。攻撃者のセッションがその返信をあなたが見る前に傍受する可能性がある。
このキャンペーンは2025年12月のGhostPairing作戦に続くものであり、その作戦では攻撃者がFacebookに似せた偽ドメインを通じてWhatsAppのペアリングコードを配布し、攻撃者が制御するデバイスを世界中の被害者のアカウントにリンクさせた。
公開されているCVE、パッチ未適用のiOS 16デバイスの大きなユーザー層、そしてかつて国家レベルの作戦のために予約されていたツールを今や使用している金銭的動機を持つ脅威アクターの収束は、Forenserが記録した悪用の窓が一度限りの事件ではないことを意味している。
翻訳元: https://cyberpress.org/0-click-whatsapp-attack/