WhatsApp、Appleユーザーへのスパイウェア配布目的で悪用されたゼロクリックの脆弱性を修正：CVE-2025-55177

WhatsApp、Appleユーザーへのスパイウェア配布目的で悪用されたゼロクリックの脆弱性を修正：CVE-2025-55177

TechCrunch – August 29, 2025

WhatsAppは2025年8月のアップデートにおいて、Appleデバイスを狙った高度な標的型攻撃で悪用された脆弱性CVE-2025-55177を修正。このゼロデイは、iOSやmacOSの脆弱性CVE-2025-43300と連鎖させて利用されていたという。

CVE-2025-55177はiOS版WhatsApp（v2.25.21.73より前）およびWhatsApp Business（iOS v2.25.21.78）、Mac版WhatsApp（v2.25.21.78）に存在していた脆弱性で、リンクされたデバイスの同期メッセージの認可が不完全であることに起因するもの。これにより、無関係なユーザーであっても、ターゲットデバイス上の任意のURLからコンテンツの処理を開始させることが可能だったと説明されている。WhatsAppの公式アドバイザリによれば、この脆弱性は、特定のターゲットユーザーに対する高度な攻撃の中で、AppleプラットフォームのOSレベルの脆弱性CVE-2025-43300と組み合わせて悪用された可能性があるという。

CVE-2025-43300は境界外書き込みの脆弱性で、8月20日の緊急アップデートでAppleにより修正されている。当時のアドバイザリにおいて同社は、この脆弱性が特定の個人に対する極めて高度な攻撃で利用された恐れがある旨を明かしていた。

WhatsAppとApple、いずれの公式アドバイザリにも攻撃の詳細は記載されていないものの、国際人権NGOアムネスティ・インターナショナルはこれを過去90日間にかけて行われた「高度なスパイウェアキャンペーン」だとしている。同NGOのSecurity Labによれば、CVE-2025-43300およびCVE-2025-55177を用いた攻撃は、ターゲットユーザーにリンクのクリックなどの操作をさせる必要のない「ゼロクリック」攻撃だったという。

両脆弱性を組み合わせることで、攻撃者は情報窃取性能のある有害なエクスプロイトをWhatsAppメッセージ経由でAppleデバイスへ配布することができたと考えられる。WhatsAppは影響を受けたと思われるユーザーに通知メッセージを送付しており、そのコピーをSecurity Labを率いるDonncha Ó Cearbhaill氏がX上で共有。これには、WhatsApp側での措置は済んだもののユーザーデバイスのOSは依然としてマルウェアなどに感染している恐れがあるため、ファクトリーリセットを行った上でOSおよびWhatsAppアプリのアップデートを適用するよう推奨する内容が記載されていた。なお、ユーザーらに送付された通知メッセージの件数は「200未満」だとされている。

どの脅威アクターまたはスパイウェアベンダーがこの攻撃に関与しているのかは現時点で明かされていない。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』