はじめに

人気のメッセージングアプリWhatsAppにおいて、Appleユーザーを標的とした深刻なゼロクリックリモートコード実行（RCE）脆弱性が発見されました。この脆弱性は、ユーザーの操作なしにiOS、macOS、iPadOSデバイスを危険に晒す可能性があり、数百万人のユーザーがリスクに晒されています。

脆弱性の詳細

セキュリティ研究機関DarkNavyOrgによって実証された概念実証（PoC）によると、この攻撃は2つの異なる脆弱性を悪用してデバイスを侵害します。

• CVE-2025-55177: WhatsAppのメッセージ処理における論理エラーです。WhatsAppが受信メッセージが本当にリンクされたデバイスからのものであるかを検証しないため、攻撃者は自身の信頼できるアカウントから送られたかのようにメッセージを偽装できます。
• CVE-2025-43300: WhatsAppのDNG画像解析ライブラリにおける重大な欠陥です。攻撃者は偽装されたメッセージに不正なDNG（Digital Negative）画像を埋め込みます。WhatsAppがこの画像を自動的に処理する際に、破損したDNGがメモリ破損エラーを引き起こし、リモートコード実行へと繋がります。

攻撃のメカニズム

この攻撃は「ゼロクリック」であり、被害者が通知を見たり、メッセージプレビューを確認したり、侵害の兆候に気づくことなく実行されます。DarkNavyOrgのPoCでは、スクリプトがWhatsAppにログインし、不正なDNG画像を生成して被害者の電話番号に送信します。悪意のあるメッセージが初期のセキュリティフィルターを迂回すると、CVE-2025-43300がトリガーされ、攻撃者に標的デバイスの完全な制御を許してしまいます。

深刻な影響

このゼロクリックRCEの潜在的な影響は極めて深刻です。攻撃者は、標的デバイスを完全に制御することで、メッセージの傍受、写真の窃盗、通話の録音、追加のマルウェアのインストールなど、あらゆる悪意のある活動を行うことができます。このエクスプロイトはAppleのエコシステム全体で機能するため、iPhone、iPad、Macコンピューターが影響を受けます。攻撃のステルス性により、非常に警戒心の強いユーザーでさえも侵害される可能性があります。

ファイル解析の欠陥は、RCE脆弱性の一般的な原因です。DNGのような複雑な画像形式には複数の埋め込みメタデータセクションが含まれることが多く、単一の不正なタグがメモリ管理を混乱させ、悪用可能な状態につながる可能性があります。

対策と推奨事項

WhatsAppとAppleは、これらの重大なバグについて通知を受けています。ユーザーは、自身のデバイスを保護するために以下の対策を講じる必要があります。

• WhatsAppを最新バージョンにアップデートしてください。
• 最新のiOS、macOS、またはiPadOSのセキュリティパッチがリリースされ次第、速やかにインストールしてください。
• パッチが適用されるまでは、信頼できる連絡先からのものであっても、不審なメッセージや画像の開封を避けてください。

企業は、モバイルセキュリティポリシーを見直し、異常なWhatsAppトラフィックに対する追加の監視を検討することが推奨されます。

まとめ

WhatsAppのゼロクリックRCEは、メッセージングアプリにおける自動ファイル処理のセキュリティ確保が継続的な課題であることを示しています。攻撃者がユーザーの操作を回避する技術を洗練させるにつれて、堅牢な検証と迅速なパッチ展開が、静かで壊滅的なエクスプロイトに対する最善の防御策となります。