iOS 16搭載iPhoneのユーザーら、ゼロクリック攻撃でWhatsAppアカウントを乗っ取られる

佐々山 Tacos

2026.05.26

iOS 16搭載iPhoneのユーザーら、ゼロクリック攻撃でWhatsAppアカウントを乗っ取られる

Security Affairs – May 25, 2026

iOS 16搭載のiPhoneに対するゼロクリック攻撃で、イタリアのユーザー複数人がWhatsAppアカウントを乗っ取られていたことを、デジタルフォレンジック企業Forenserが報告。乗っ取りの結果、ユーザーの身に覚えのないWhatsAppメッセージが送られたり、連絡先に登録された相手へ送金依頼が送られたりしていたものの、「リンク済みデバイス」には何も登録されていなかったという。

この侵害は、以下のような異常なパターンに遭遇したイタリアのiPhoneユーザーらによってForenserの目に留まることとなった。該当するユーザーらの端末はiPhone 8〜14のいずれかのモデルで、iOS 16のいずれかのbーあジョンがインストールされていたという。

ユーザー自身のWhatsApp番号から最近の連絡相手に対し、送金を依頼するメッセージが勝手に送られていた
ユーザー自身にはそのようなメッセージを送った記憶はない
WhatsAppアプリの設定を見ても、「リンク済みデバイス」には何も登録されていない
ユーザーは、不審なQRコードを読み取ったり、認証コードを他人に共有したり、デバイスのペアリングを行ったりしていない

ユーザー側でQRコードの読み取りなどを行っていないことから、ソーシャルエンジニアリングの手法「ゴーストペアリング」が使われた可能性は排除され、被害者側のアクションを必要としない「ゼロクリック」侵害の懸念が残ることとなった。

Forenserは侵害されたデバイスのiOSユニファイドログとsysdiagnoseデータを分析したところ、WhatsAppにより生成されたログに、「resync（再同期）」イベントが継続的に発生するという異常があるのを発見。これはまるで、「アプリケーションがWhatsAppサーバーとのセッションを絶えず再ネゴシエーションしているかのようだった」という。

この継続的なセッション再同期というパターンは、正規ユーザーの端末と攻撃者のクライアント、2つのエンドポイントが同一のWhatsAppアカウントの制御権をめぐって常に競い合っているような状況を意味するとされる。このことは、被害者の認識もなく、「リンク済みデバイス」も空欄のままでWhatsAppメッセージが送られていた理由を説明しているという。

Forenserは、被害者がいずれもiOS 16を使用していたことから、このOSバージョンの既知の脆弱性が悪用されたとみて調査。おそらくCVE-2025-43300が使われたのだろうとの結論を導き出した。CVE-2025-43300はImageIOフレームワークにおける境界外書き込みの脆弱性で、攻撃者に悪用された場合、悪意ある画像の処理時にメモリ破損を生じさせることが可能になるとされる。Appleはゼロデイ攻撃で悪用されていたのを発見後、2025年8月にこの脆弱性を修正している。

Forenserはまた、CVE-2025-43300と合わせてCVE-2025-55177が併用された可能性も指摘。CVE-2025-55177はiOSおよびmacOS版WhatsAppの不具合で、リンクされたデバイスの同期メッセージの認可が不完全であることにより、無関係なユーザーであっても、標的端末上の任意のURLからコンテンツの処理を開始させることが可能になると説明されている。この脆弱性も2025年8月にWhatsAppによって修正されているが、その際の公式アドバイザリには、CVE-2025-43300と組み合わせて悪用された可能性があるとの記載があった。影響を受けるのは16.7.12より前のバージョンのiOSで、Forenserが分析したすべての侵害デバイスがこの条件を満たしていたという。

Forenserは、脆弱なiOSバージョンを実行するテスト端末を使用し、管理された実験環境下で攻撃シナリオの一部を再現。実験を通じ、この脆弱性を悪用することに成功した攻撃者が、侵害されたデバイスから直接WhatsAppのセッションハンドシェイクに必要な暗号化情報を抽出できることを確認したという。この情報を使用すれば、被害者の携帯電話やWhatsAppアプリ自体に目に見える通知を表示させることなく、被害者のアカウントに紐づいた新しいWhatsAppクライアントを別の場所で起動することが可能になるとされる。

今回の攻撃はゼロクリック攻撃だったとみられるため、「不審なリンクをクリックしない」などの対策は意味をなさず、脆弱性のパッチが含まれる最新のiOSへアップデートすることが最も効果的な対策となる。

ゼロクリックエクスプロイトといえば、かつては豊富なリソースを持つ国家支援型アクターに利用されることがほとんどだった。しかし、近年では金銭的動機によるサイバー犯罪においても登場する機会が増えており、今回のイタリアでのWhatsApp侵害もそれを裏付ける事例の1つとなっているとSecurity Affairsは指摘している。