WhatsApp、RCEを容易にする脆弱性を修正（CVE-2025-30401）

4月9日：サイバーセキュリティ関連ニュース

WhatsApp、リモートコード実行を容易にする脆弱性を修正（CVE-2025-30401）

SecurityWeek – April 8, 2025

WhatsAppは最近リリースしたアップデートにより、Windows向けデスクトップアプリに存在したスプーフィングの脆弱性を修正した。この欠陥が悪用されると、ユーザーを騙してリモートコード実行を簡単に行うことができると説明されている。

メタの簡潔なアドバイザリによると、この脆弱性はCVE-2025-30401として追跡されているもの。WhatsApp for Windowsのバージョン2.2450.6で修正され、これより前のバージョンはすべて影響を受けるという。MIMEタイプが変更され、一見すると無害に見えるよう特別に細工されたファイルを標的に送信することで悪用が可能になり、ユーザーに画像またはドキュメントファイルを開いていると錯覚させつつ、実際には有害なコードの実行をトリガーする実行可能ファイルやその他のファイルを実行させることができるようになる。

MIMEタイプの操作を伴う攻撃は数年前から知られているが、メタはCVE-2025-30401が実際に悪用されているかどうかについて何も言及していない。いずれにせよ、WhatsAppは脅威アクターにとって価値の高いターゲットであり、昨年にはイスラエル企業Paragon Solutionsが開発したスパイウェアによる攻撃でWhatsAppのゼロデイが悪用されている。

GoogleがAndroidのゼロデイ脆弱性2件を修正、悪用された可能性についても言及（CVE-2024-53197、CVE-2024-53150）

TechCrunch – April 8, 2025

Googleは7日にAndroid向けのアップデートをリリースし、2件のゼロデイ脆弱性を修正した。それぞれCVE-2024-53197、CVE-2024-53150として追跡されているこれらの欠陥について、同社は「限定的かつ標的を絞って悪用されている可能性がある」と指摘している。

CVE-2024-53197を特定したのは非営利団体アムネスティ・インターナショナルで、政府支援型サイバー攻撃を追跡するGoogleのThreat Analysis Group（TAG）のBenoît Sevens氏が協力した。この脆弱性についてアムネスティは2月、携帯電話のロック解除とフォレンジック分析用デバイスを法執行機関に販売するCellebriteがほかのゼロデイ脆弱性2件と連鎖させて使用し、Androidスマホをハッキングしていることを突き止めたと発表していたが、このケースではCellebriteを装備したセルビア当局が地元の学生活動家の端末に対し、これらのバグを悪用していたという。

一方、CVE-2024-53150については多くの情報がなく、この脆弱性がTAGのSevens氏によって発見されたこと、オペレーティングシステムのコアであるカーネルで見つかったことなどしか確認できていないようだ。Googleのアドバイザリには「これらの問題で最も深刻なのはシステムコンポーネントの重大なセキュリティ脆弱性で、追加の実行権限を必要とせずリモートで権限を昇格できる可能性がある」と記され、「悪用にユーザーの操作は不要」と説明された。

同社は48時間以内にソースコードパッチを公開し、Androidパートナーには「情報公開の遅くとも1か月前までにすべての問題が通知される」とも述べている。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価