Samsungの画像ライブラリの脆弱性によりゼロクリックのバックドアが発生

Samsungは、すでにゼロデイ攻撃で悪用されている、Androidデバイスのコアユーティリティに影響を与える深刻な脆弱性を公表しました。

この脆弱性はQuramsoftが提供するクローズドソースの画像解析ライブラリ「libimagecodec.quram.so」に存在し、リモート攻撃者が特別に細工した画像ファイルを通じて任意のコードを実行できるものです。

「人気アプリやOEMライブラリを狙ったゼロデイ攻撃は、攻撃者がいかに迅速にモバイルへと標的を移しているかを示しています」とZimperiumのシニアセールスエンジニア、ブライアン・ソーントン氏は述べています。「セキュリティチームは、従業員がすぐにSamsungデバイスをアップデートするよう徹底し、モバイル防御計画を強化すべきです。」

SamsungはKNOXで保護された企業環境にこのバグがどのような影響を与えるかについては明言していませんが、RCE（リモートコード実行）攻撃は一般的にユーザー保護を回避し、デバイス管理コントロールを無効化したり、個人と業務が混在する端末群でさらなる侵害の足掛かりとなる可能性があるため、リスクがあると考えるのが安全です。

現在修正済みのこの脆弱性はAndroid 13から16までのすべてのデバイスに影響しており、多くの企業端末が依然として脆弱な状態にある可能性があります。問題のライブラリは、画像処理が行われるSamsungデバイス全体で広く使用されており、システムアプリ（ギャラリー、カメラ）、メッセージングアプリ、Samsungの画像APIに依存するサードパーティアプリなどが含まれます。

ピクセルの裏に潜むバグ

CVE-2025-21043として追跡されているこの脆弱性は、Samsung独自の画像解析ライブラリlibimagecodec.quram.soにおけるバッファオーバーフロー（範囲外書き込み）問題です。攻撃者は特別に細工した画像ファイルを使ってこのバグを誘発し、リモートコード実行（RCE）を引き起こすことができます。

Samsungは、この重大なバグ（CVSSスコア10点中8.8）が、Meta/WhatsAppが8月に非公開で報告した際に悪用されていたことを確認しました。攻撃の詳細は明らかにされていませんが、メッセージングアプリは受信画像を頻繁に処理するため、明らかな攻撃経路となります。セキュリティ専門家は、このエクスプロイトが被害者のほとんど、もしくは全く操作を必要とせずに静かに実行される可能性がある、典型的なゼロクリック脅威であると強調しています。

「この問題は、強固なモバイルデバイス管理の重要性を再認識させるものです」とCequence Securityの最高情報セキュリティ責任者、ランドルフ・バー氏は述べています。「セキュリティチームは、個人管理か企業管理かという議論を超えて、現実に目を向けるべきです。管理されていないデバイスは組織にとってリスクです。」

インシデント発生後に責任を問われるのはセキュリティ担当者であるため、リーダーはモバイルデバイス管理（MDM）の必要性を周知し、その重要性を明確に示し、誤解を正面から解消する必要があるとバー氏は付け加えました。

今すぐパッチを適用しなければバックドアのリスク

2025年9月リリース1のパッチは、Android 13から16を実行するデバイスに影響するこの脆弱性を修正しています。「SMR Sep-2025 Release 1より前のlibimagecodec.quram.soにおける範囲外書き込みにより、リモート攻撃者が任意のコードを実行できる可能性があります」とSamsungは公表しています。

企業にとって、CVE-2025-21043は単なる個人デバイスの問題ではなく、企業ネットワークへの潜在的なバックドアを意味します。悪用されると、攻撃者が機密性の高い業務アプリやメールアカウント、さらにはデバイスに保存された企業データにアクセスできる可能性があります。

BYOD（私物端末持ち込み）や混合管理環境でパッチが不完全なデバイスは、重要な企業システムへの橋渡し役となってしまう恐れがあります。バー氏は、BYOD環境ではユーザーがMDM管理やアップデートに抵抗する場合があり、パッチ適用状況の追跡が難しいと指摘します。「MDM以外でも、Entra IDや他のSSOツールを利用している組織は、デバイスごとのログインを確認し、ユーザーに直接アップデートの確認を促すことができます。」Androidデバイスでは多くの場合アップデートが自動で行われますが、検証が依然として重要だと彼は付け加えました。