CISA、連邦機関にSamsungゼロデイ脆弱性のパッチ適用を命令
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、連邦機関に対し、Samsungのゼロデイ脆弱性に対するパッチを緊急に適用するよう命令しました。この脆弱性は、WhatsAppを介してLandFallスパイウェアをデバイスに展開するために、すでに悪用されていることが確認されています。
LandFallスパイウェアによる悪用
「CVE-2025-21042」として追跡されているこの深刻な脆弱性は、Samsungのlibimagecodec.quram.soライブラリで発見された境界外書き込み(out-of-bounds write)の欠陥です。リモートの攻撃者が、Android 13以降を実行しているデバイス上でコード実行を可能にするものです。
SamsungはMetaおよびWhatsAppセキュリティチームからの報告を受け、4月にこの脆弱性を修正しましたが、Palo Alto NetworksのUnit 42は先週、攻撃者が少なくとも2024年7月以降、WhatsApp経由で送信された悪意のあるDNG画像を通じて、この脆弱性を悪用し、これまで知られていなかったLandFallスパイウェアを展開していたことを明らかにしました。
LandFallスパイウェアは、被害者の閲覧履歴へのアクセス、通話や音声の録音、位置情報の追跡、写真、連絡先、SMS、通話履歴、ファイルへのアクセスなど、広範な情報収集能力を持っています。
脆弱性の詳細と影響範囲
Unit 42の分析によると、このスパイウェアは以下のSamsungフラッグシップモデルを含む幅広いデバイスを標的としています。
- Galaxy S22シリーズ
- Galaxy S23シリーズ
- Galaxy S24シリーズ
- Z Fold 4
- Z Flip 4
攻撃の背景と関連性
VirusTotalのサンプルデータからは、イラク、イラン、トルコ、モロッコにおける潜在的な標的が示唆されています。また、C2ドメインインフラストラクチャと登録パターンは、アラブ首長国連邦を起源とするStealth Falconの活動と類似点があることが指摘されています。
さらに、マルウェアローダーコンポーネントに「Bridge Head」という名称が使用されている点は、NSO Group、Variston、Cytrox、Quadreamといった商業スパイウェアベンダーで一般的に見られる命名規則と共通しています。しかし、LandFallが特定の既知のスパイウェアベンダーや脅威グループに確実に関連付けられるまでには至っていません。
CISAの対応と推奨事項
CISAは今回、このCVE-2025-21042の脆弱性を「既知の悪用された脆弱性カタログ(Known Exploited Vulnerabilities catalog)」に追加しました。これは、攻撃で積極的に悪用されているセキュリティ上の欠陥をリストアップするものです。
連邦民間執行機関(FCEB)に対し、3週間以内、すなわち12月1日までにSamsungデバイスを現在の攻撃から保護するよう義務付けています。これは、拘束力のある運用指令(BOD)22-01によって義務付けられています。
この指令は連邦機関にのみ適用されますが、CISAはすべての組織に対し、このセキュリティ脆弱性のパッチ適用をできるだけ早く優先するよう強く促しています。「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらします」と警告しています。
CISAは、「ベンダーの指示に従って緩和策を適用するか、クラウドサービスについては適用されるBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」と付け加えています。
過去の関連脆弱性
今年9月には、SamsungがAndroidデバイスを標的としたゼロデイ攻撃で悪用された別のlibimagecodec.quram.soの欠陥(CVE-2025-21043)を修正するためのセキュリティアップデートをリリースしています。