Samsungゼロクリック脆弱性悪用、WhatsAppでLANDFALL配布 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/11/samsung-zero-click-flaw-exploited-to.html

🛡 概要

Samsung Galaxy端末の画像コーデック（libimagecodec.quram.so）に存在したゼロデイ脆弱性（CVE-2025-21042、CVSS 8.8）が、WhatsApp経由のゼロクリック手法で悪用され、商用級Androidスパイウェア「LANDFALL」の配布・実行に利用されました。標的は中東の一部地域で観測され、Samsungは2025年4月に修正済みです。なお、同一ライブラリの別脆弱性（CVE-2025-21043、CVSS 8.8）も2025年9月に悪用報告がありますが、LANDFALLとは直接の武器化証拠は示されていません。関連して、WhatsApp（iOS/macOS）のCVE-2025-55177（CVSS 5.4）とApple側のCVE-2025-43300（CVSS 8.8）の連鎖悪用も公表され、いずれも修正済みです。

🔍 技術詳細

Unit 42の分析によれば、攻撃者はDNG（Digital Negative）形式の画像に細工を施し、末尾にZIPアーカイブを追記する手口を用いました。Samsung端末上で当該画像が処理される際、libimagecodec.quram.soのアウトオブバウンズ書き込み（CVE-2025-21042）が引き金となり、ゼロクリックで任意コード実行が可能になります。アーカイブから抽出される共有ライブラリ（.so）はローダとして機能し、LANDFALL本体を展開・実行。さらに別の共有ライブラリがSELinuxポリシーを操作し、LANDFALLに昇格権限や永続化を与える役割を担う設計が観測されています。LANDFALLは音声録音、位置情報、写真、連絡先、SMS、ファイル、通話履歴など機微情報の収集に対応し、HTTPSでC2サーバとビーコン通信し次段ペイロードを受領します。WhatsApp上では媒体プレビューや自動処理の過程で脆弱なコーデックが呼び出される可能性があり、ユーザー操作を伴わないゼロクリック成立の合理性と整合します。時系列では少なくとも2024年7月まで遡るサンプルが確認され、2025年2月以降の悪性DNG名も報告されています。なお、キャンペーンの運用基盤はStealth Falcon（FruityArmor）と類似点があるものの、2025年10月時点で直接的な重複は確認されていません。

⚠ 影響

機密情報の広範な収集（音声・位置・メディア・メッセージ・通話）
企業モバイル端末の業務データやクラウド認証情報への連鎖リスク
ゼロクリックによりユーザー教育だけでは防ぎにくい初期侵入
エンドツーエンド暗号化（E2EE）によりゲートウェイ側での検査が困難

対象CVEのCVSS: CVE-2025-21042 8.8、CVE-2025-21043 8.8、CVE-2025-43300 8.8、CVE-2025-55177 5.4。

🛠 対策

パッチ適用：Samsungの2025年4月以降のセキュリティ更新を強制（MDM/EMMで最低ビルドレベルを準拠化）。Apple/WhatsAppも最新版へ。
WhatsApp設定：メディア自動ダウンロードを無効化（特に写真/ドキュメント）、不明送信者のメディア受信を制限。
分離と最小権限：Android EnterpriseのWork Profile/Knoxを活用し、業務データと個人領域を分離。外部ストレージ、通知、マイク/位置許可を原則拒否。
アプリ衛生：Google Play以外からのサイドロード禁止、Play Protect/KPEの有効化。
ネットワーク監視：モバイル用DNSログ/HTTPS SNI/JA3Sなどのメタデータで未知C2を検知。私有DNSでブロックリスト適用。
インシデント対応：異常検知時は端末隔離→メモリ/ファイルトリアージ→工場出荷状態リセット→再プロビジョニング。認証情報の即時ローテーション。

📌 SOC視点

端末テレメトリ：mediaserverや画像処理関連プロセスのクラッシュ（logcat/tombstones）、異常な.soロード、未知アプリのネイティブ庫生成。
ファイル痕跡：DNG末尾にZIPシグネチャ（PK）を含む不自然な大型DNG、/data/data/<アプリ>/files/ 配下への.so展開。
SELinuxイベント：監査ログ中のポリシー操作試行や権限拡大の兆候（deny/grantの急な偏り）。
ネットワーク：不定期な短周期HTTPSビーコン、SNI不一致や新規登録ドメイン（NRD）への外向き通信。
E2EE制約：メッセージ内容の検査は不可。端末側EDR/MDMとネットワークメタデータの相関分析を重視。

📈 MITRE ATT&CK

Initial Access: T1566.003 Spearphishing via Service（WhatsAppのサービス経由で悪性DNGを配布。ユーザー操作不要だが配信チャネルとして該当）
Execution: T1203 Exploitation for Client Execution（画像コーデックのRCEにより任意コード実行）
Privilege Escalation: T1068 Exploitation for Privilege Escalation（SELinux操作を伴う権限拡大の試み）
Defense Evasion: T1562.001 Impair Defenses（SELinuxポリシー改変により保護機構を弱体化）
Persistence: T1547（構成・権限変更を介した永続化。報告内容に基づく）
Command and Control: T1071.001 Web Protocols（HTTPSビーコンでC2通信）
Collection: 各種センサー・データ収集（音声・位置・メディア等、報告機能に基づく）

注：上記は公開分析の技術要素（悪性DNG、RCE、SELinux操作、HTTPS C2）に基づく正当化です。

🏢 組織規模別助言

〜50名：端末の自動更新とWhatsAppメディア自動ダウンロード無効化を標準設定に。業務データはWork Profileに限定。侵害時は端末交換・再登録を即実施。
50〜500名：EMMでOS/アプリ最小バージョンを準拠化、外部共有と権限付与をテンプレ化。DNS/SWGでNRDブロック、モバイルIR手順と連絡網を整備。
500名以上：KPI化（修正適用率、検知MTTD/封じ込めMTTR）、脅威ハンティング（mediaserverクラッシュ相関）、CTI連携でIoC自動配信。高リスク地域向けに追加モニタリング。

🔎 類似事例

CVE-2021-30860（FORCEDENTRY：iMessage経由の画像処理ゼロクリック）
CVE-2023-41064（Apple ImageIOのゼロクリック脆弱性：高度標的型）
本件：CVE-2025-21042/21043（Samsung libimagecodec）、CVE-2025-55177（WhatsApp iOS/macOS）、CVE-2025-43300（Apple OS）