重大な脆弱性により、Samsungモバイルデバイスの所有者が高度なサイバー攻撃のリスクにさらされています。2025年11月10日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2025-21042として追跡されている脆弱性を既知の悪用脆弱性(KEV)カタログに追加しました。KEVカタログは、実際に悪用されていることが確認された脆弱性をリストアップし、連邦民間行政機関(FCEB)に対してパッチ適用の期限を設定しています。
そのため、多くのサイバーセキュリティ専門家にとって、CISAがこの脆弱性をリストに追加したことは、緊急性と実際に悪用が行われているという確認の両方を意味します。
CVE-2025-21042は、報告によると、中東のGalaxyデバイスにLANDFALLスパイウェアを展開するためのリモートコード実行(RCE)ゼロデイとして悪用されていました。しかし一度悪用が始まると、他の犯罪者も同様の攻撃をすぐに仕掛けてくる傾向があります。
この脆弱性自体は、Samsungの画像処理ライブラリにおけるバッファオーバーフロー(範囲外書き込み)脆弱性です。これらの脆弱性により、攻撃者は本来意図されていないメモリ領域を上書きできるため、メモリ破損、不正なコード実行、そして今回のようなデバイスの乗っ取りにつながることがよくあります。CVE-2025-21042は、リモートの攻撃者が任意のコードを実行できるようにし、被害者のスマートフォンを完全に制御できる可能性があります。ユーザーの操作は一切不要です。警告も表示されません。
Samsungはこの問題を2025年4月に修正しましたが、CISAの最近の警告は、攻撃者による悪用が数か月間野放しにされていたことを強調しています。一部のケースでは、防御側が攻撃者に後れを取っています。リスクは非常に高く、データ窃取、監視、モバイルデバイスの侵害による企業全体への攻撃の足掛かりとなる可能性もあります。
この悪用手法は巧妙かつ危険です。Unit 42の調査によると、犯罪者(おそらく中東を拠点とする民間の攻撃者)は、この脆弱性を武器化し、WhatsApp経由で不正なDigital Negative(DNG)画像ファイルを送信することでLANDFALLスパイウェアを配布していました。DNGはAdobeが開発したオープンかつロスレスなRAW画像フォーマットで、デジタルカメラマンが非圧縮センサーデータを保存するために使用します。
攻撃の流れは以下の通りです:
- 被害者が細工されたDNG画像ファイルを受信する。
- ZIPアーカイブのペイロードと専用のエクスプロイトコードが仕込まれたファイルが、Samsungの画像コーデックライブラリの脆弱性を引き起こす。
- これは「ゼロクリック」攻撃です。ユーザーがタップ、開く、実行などの操作を一切しなくても、画像を処理するだけでデバイスが侵害されます。
Samsungは、もう一つの画像ライブラリの脆弱性CVE-2025-21043も2025年9月に修正しており、画像処理の脆弱性がスパイ活動やサイバー犯罪の新たな侵入口として人気を集めている傾向が見て取れます。
ユーザーや企業はどうすべきか?
この種の攻撃から身を守るためのアドバイスはシンプルです:
- すぐにパッチを適用しましょう。 4月以降Samsungデバイスをアップデートしていない場合は、今すぐ更新してください。FCEB組織は2025年12月1日までにCISAの運用指令に従う必要があります。
- 不審なメッセージやファイル、特にメッセージアプリで受信した画像には注意しましょう。
- 信頼できるソースからのみアプリをダウンロードし、ファイルのサイドローディングは避けてください。
- 最新のリアルタイムマルウェア対策ソリューションを利用しましょう。
モバイルデバイスを狙ったゼロデイ攻撃は恐ろしいほど一般的になっていますが、迅速なパッチ適用、意識向上、堅牢なセキュリティ対策によってリスクを下げることができます。LANDFALLが示すように、今日最も危険な攻撃はしばしば静かに進行し、ユーザーの操作も明確な兆候もないまま手遅れになることが多いのです。
LANDFALLの標的となったデバイスモデル:
Galaxy S23シリーズ
Galaxy S24シリーズ
Galaxy Z Fold4
Galaxy S22
Galaxy Z Flip4
