WhatsApp、Appleユーザーへのスパイウェア配布目的で悪用されたゼロクリックの脆弱性を修正：CVE-2025-55177

WhatsApp、Appleユーザーへのスパイウェア配布目的で悪用されたゼロクリックの脆弱性を修正：CVE-2025-55177

TechCrunch – August 29, 2025

WhatsAppは2025年8月のアップデートにおいて、Appleデバイスを狙った高度な標的型攻撃で悪用された脆弱性CVE-2025-55177を修正。このゼロデイは、iOSやmacOSの脆弱性CVE-2025-43300と連鎖させて利用されていたという。

CVE-2025-55177はiOS版WhatsApp（v2.25.21.73より前）およびWhatsApp Business（iOS v2.25.21.78）、Mac版WhatsApp（v2.25.21.78）に存在していた脆弱性で、リンクされたデバイスの同期メッセージの認可が不完全であることに起因するもの。これにより、無関係なユーザーであっても、ターゲットデバイス上の任意のURLからコンテンツの処理を開始させることが可能だったと説明されている。WhatsAppの公式アドバイザリによれば、この脆弱性は、特定のターゲットユーザーに対する高度な攻撃の中で、AppleプラットフォームのOSレベルの脆弱性CVE-2025-43300と組み合わせて悪用された可能性があるという。

CVE-2025-43300は境界外書き込みの脆弱性で、8月20日の緊急アップデートでAppleにより修正されている。当時のアドバイザリにおいて同社は、この脆弱性が特定の個人に対する極めて高度な攻撃で利用された恐れがある旨を明かしていた。

WhatsAppとApple、いずれの公式アドバイザリにも攻撃の詳細は記載されていないものの、国際人権NGOアムネスティ・インターナショナルはこれを過去90日間にかけて行われた「高度なスパイウェアキャンペーン」だとしている。同NGOのSecurity Labによれば、CVE-2025-43300およびCVE-2025-55177を用いた攻撃は、ターゲットユーザーにリンクのクリックなどの操作をさせる必要のない「ゼロクリック」攻撃だったという。

両脆弱性を組み合わせることで、攻撃者は情報窃取性能のある有害なエクスプロイトをWhatsAppメッセージ経由でAppleデバイスへ配布することができたと考えられる。WhatsAppは影響を受けたと思われるユーザーに通知メッセージを送付しており、そのコピーをSecurity Labを率いるDonncha Ó Cearbhaill氏がX上で共有。これには、WhatsApp側での措置は済んだもののユーザーデバイスのOSは依然としてマルウェアなどに感染している恐れがあるため、ファクトリーリセットを行った上でOSおよびWhatsAppアプリのアップデートを適用するよう推奨する内容が記載されていた。なお、ユーザーらに送付された通知メッセージの件数は「200未満」だとされている。

どの脅威アクターまたはスパイウェアベンダーがこの攻撃に関与しているのかは現時点で明かされていない。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価