出典:GamePixel via Shutterstock
攻撃者は、iPhoneのiOSに影響を与えるWhatsAppのセキュリティ脆弱性を悪用し、Appleユーザーを標的とした「高度な」ゼロクリック攻撃を行っています。このキャンペーンでは、以前発見され修正されたiOSの脆弱性CVE-2025-43300も利用されており、他の攻撃でも使用されていることが知られています。これまでに約200人が被害を受けており、米国政府は連邦職員全体に対し、直ちにデバイスをアップデートするよう呼びかけています。
新たなバグ(CVE-2025-55177, CVSS 5.4)はMetaのWhatsAppチャットアプリに影響し、「無関係なユーザーがターゲットのデバイス上で任意のURLからのコンテンツ処理を引き起こす可能性がある」とコンピュータインフラストラクチャー・セキュリティ庁(CISA)が火曜日に発表した勧告によれば述べられています。この脆弱性は、WhatsAppの勧告で「リンクされたデバイスの同期メッセージの不完全な認可」問題とされており、iOS v2.25.21.73以前、WhatsApp Business for iOS v2.25.21.78、WhatsApp for Mac v2.25.21.78に影響します。
「この脆弱性は、AppleプラットフォームのOSレベルの脆弱性(CVE-2025-43300)と組み合わせて、特定の標的ユーザーに対する高度な攻撃で悪用された可能性があると評価しています」とWhatsAppの勧告は述べています。同社はすでにこの脆弱性を修正するためにアプリをアップデートしており、ユーザーは最新バージョンに更新する必要があります。
以前に公開されたAppleの脆弱性は、8月にゼロデイ攻撃で使用されたアウトオブバウンズ書き込み問題であり、これも「極めて高度な」標的型攻撃と説明されています。iOS、iPadOS、macOSに影響し、Appleは8月20日に修正しました。「悪意のある画像ファイルを処理するとメモリ破損が発生する可能性があります」とAppleのセキュリティ勧告で述べられています。最新のOSバージョンでは、境界チェックの強化によりこの脆弱性が修正されています。
WhatsAppへのサイバー攻撃:スパイウェアが最終目的か?
Metaは「影響を受けた可能性があると考えられる世界中の200人未満のユーザーに、標準的なアプリ内脅威通知を送信しました」とMetaの広報担当エミリー・ウェスコット氏はDark Readingに語っています。「常にアプリやデバイスを最新の状態に保ち、WhatsAppの追加のプライバシー・セキュリティ機能を活用することを推奨します。」
ウェスコット氏は被害者の詳細には触れませんでしたが、公開された報道によれば、この攻撃は ジャーナリスト、活動家、その他の著名人をスパイウェアで標的にしたとされています。Appleは被害者の数や詳細についてDark Readingの質問にすぐには回答しませんでした。
アムネスティ・インターナショナルによれば、攻撃者がWhatsApp経由でAndroidユーザーも標的にした証拠があり、現在調査中だとしています。
「初期の兆候では、WhatsApp攻撃はiPhoneとAndroidの両ユーザーに影響を与えており、市民社会の個人も含まれています」とアムネスティ・インターナショナルのセキュリティラボ責任者ドンチャ・オ・ケアバイル氏はXへの投稿で述べています。
「政府のスパイウェアは依然としてジャーナリストや人権擁護者に脅威をもたらしています」と彼は付け加えました。「WhatsAppとAppleがこれを発見し、通知したことに称賛を送ります。」
著名人に対する継続的な攻撃
実際、攻撃者は特にiPhoneを通じたモバイルデバイスによるサイバー諜報活動の長い歴史を持っています。実際、WhatsAppが自社プラットフォーム上でのスパイウェア使用と戦ってきた歴史は2019年にさかのぼり、MetaがイスラエルのNSOグループを提訴し、同社のPegasusスパイウェアで1,400人のWhatsAppユーザーを標的にしたと主張、これにより詐欺行為やプラットフォームのサーバーへの負荷が発生したとしています。
2021年には、データベースのリークにより、NSOグループの顧客(通常は外国政府や法執行機関)がPegasusスパイウェアを使って各国で5万件以上の電話番号を標的にしていたことが明らかになり、さらなるスキャンダルが発生しました。米国政府は2021年に正式に同社をブラックリスト入りさせ、米国内や米国企業との取引を禁止しましたが、それでも攻撃者はPegasus や他のスパイウェアを使ったサイバー諜報・監視キャンペーンを続けています。
昨年11月、カリフォルニア北部地区連邦地方裁判所でのMetaの訴訟に関連する裁判所提出書類が公開され、NSOグループがPegasusスパイウェアキャンペーンに関与していた範囲がより明確になりました。その中で、WhatsAppの弁護士は、NSOグループが顧客のためにスパイウェアをインストール・運用していたと主張しており、これにより同社がスパイウェアの使用に直接責任を負うことになるとしています。
モバイルスパイウェア対策:アプリとOSを最新に保つ
自分自身を守るために、ユーザーはWhatsAppおよびiPhoneのiOSを、それぞれの問題を修正したバージョンにアップデートするよう各社は呼びかけています。サイバー諜報キャンペーンの標的となる可能性が低い一般ユーザーにとっては、これで十分にリスクを回避できます。
CISAの政府ユーザー向けアドバイスは、ベンダーの指示に従って対策を適用し、該当する政府指令(別名BOD 22-01)に従ってクラウドサービスを保護するか、対策が利用できない場合は製品の使用を中止することです。
著名人、活動家、 ジャーナリスト、およびサイバー諜報キャンペーンの標的となりうるその他の人々 は、デバイスが侵害されていないことを確実にするため、実際にデバイスを工場出荷時の設定にリセットする必要があるかもしれないと各社は助言しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/whatsapp-bug-zero-click-iphone-attacks