PR

CISA、Samsungゼロデイ悪用で連邦にパッチ義務化—LandFall

Security

Source:https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-samsung-zero-day-used-in-spyware-attacks/

🛡 概要

米CISAは、Samsung端末向け画像コーデックのゼロデイ脆弱性(CVE-2025-21042)がスパイウェア「LandFall」の配布に悪用されているとして、FCEB(米連邦民間行政府)機関に対し3週間以内(12月1日まで)のパッチ適用を命じました。攻撃はWhatsAppで送付される不正なDNG画像をトリガーとしており、Android 13以降を搭載するSamsung機で任意コード実行が可能になります。当該欠陥はSamsungのライブラリ「libimagecodec.quram.so」におけるアウト・オブ・バウンズ書き込みが原因で、Meta/WhatsAppの報告を受けSamsungが4月のセキュリティ更新で修正済みです。Unit 42は、少なくとも2024年7月から野外で悪用され、Galaxy S22/S23/S24およびZ Fold4/Z Flip4などのフラッグシップ機が狙われたと分析しています。CISAはCVE-2025-21042をKEV(既知悪用脆弱性)カタログに追加し、連邦機関以外の組織にも早期パッチを推奨しています。なお、同ライブラリの別欠陥CVE-2025-21043も9月の更新で修正されています。

🔍 技術詳細

本件の主因は、Samsung端末で用いられる画像処理ライブラリ「libimagecodec.quram.so」に存在したアウト・オブ・バウンズ書き込み(OOB write)です。攻撃者は細工したDNG(Digital Negative)画像をWhatsApp経由で送信し、受信端末側で当該画像をプレビューまたはデコードする際に、ネイティブコードの境界外書き込みを誘発させ、WhatsAppのメディア処理経路上でリモートコード実行(RCE)を達成します。報告によれば「Bridge Head」と呼ばれるローダーが最初のペイロードとして投入され、その後C2からLandFall本体を取得・展開。LandFallはブラウジング履歴の取得、通話・音声の録音、位置情報追跡、写真・連絡先・SMS・通話履歴・各種ファイルへのアクセスなど幅広い収集機能を備えます。Unit 42はC2ドメイン登録パターンがStealth Falcon作戦で見られた特徴と類似している点や、イラク・イラン・トルコ・モロッコなどでの標的化の可能性を指摘していますが、既知のスパイウェアベンダや特定の脅威グループへの確証ある帰属は行っていません。また、現時点でカーネル権限獲得の追加エクスプロイトが用いられた確証は示されておらず、主にアプリサンドボックス内でのコード実行から情報収集・外送へとつなげる手口が観測されています。CVE-2025-21042のCVSSスコアはNVD等の公表値を確認できていません(執筆時点)。同ライブラリのCVE-2025-21043もゼロデイ悪用が報告され、Samsungは9月の更新で対処済みです。いずれもAndroid 13以降のSamsung端末に影響し、WhatsAppなど画像を扱うアプリのメディアデコード経路で発火するリスクがあるため、企業内モバイルでのBYOD/COPE環境に直結する脅威となります。

⚠ 影響

  • 機密情報漏えい:写真、連絡先、SMS、通話履歴、位置情報、ファイル等が窃取される可能性。
  • 盗聴・監視:通話・音声の録音により業務会話や取引情報が外部流出。
  • 規制・法的リスク:個人情報保護・輸出管理・契約上の守秘義務違反。
  • ブランド毀損と取引影響:役員・開発チーム・外交/営業部門の端末が狙われると被害が拡大しやすい。

🛠 対策

  • パッチ適用:Samsungの4月および9月のセキュリティ更新を適用(CVE-2025-21042/21043)。MDM/Knox E-FOTAで最短リング→段階展開を実施。
  • 最小許可と設定強化:WhatsApp等のメディア自動ダウンロードを制限。未知送信者からの画像プレビューを無効化(可能な範囲)。
  • アプリ最新化:WhatsApp/Google Play開発者サービス/Playシステムアップデートを最新に。
  • ネットワーク対策:既知のC2や疑わしい新規登録ドメインへのアウトバウンドをDNS/HTTP(S)で監視・遮断。DoH/ESNIの可視化戦略を整備。
  • 資産管理:モデル・ビルド番号・セキュリティパッチレベルの台帳化と準拠監査。未更新端末は隔離ポリシー。
  • インシデント備え:疑似IOC検索、端末フォレンジック手順(ログ取得・バックアップ・ワイプ/再プロビジョニング)の標準化。

📌 SOC視点

  • 端末ログ:logcat/tombstoneにおけるlibimagecodec.quram.so起因のSIGSEGV等クラッシュ痕跡、SELinux拒否、WhatsAppメディア処理直後の異常を相関。
  • MDM/EDR:セキュリティパッチレベルのコンプライアンス違反、未知権限要求、通話録音・マイク常時使用の挙動監視。
  • ネットワーク:新規発見ドメインへのTLS通信、SNI/JA3/JARMの逸脱、時系列的なデータ外送(小分割・周期送信)パターン。
  • 検体取得:ユーザー報告の不審DNG画像は隔離し、サンドボックスで静的/動的解析(ただし機密端末では実行禁止)。
  • KEV連携:CISA KEVとUnit 42のIOC/戦術更新を継続取り込み、SIEMルールへ反映。

📈 MITRE ATT&CK

  • Initial Access: T1204.002(Malicious File)—細工DNGをメッセージ経由で配布。
  • Execution: T1203(Exploitation for Client Execution)—画像デコード中のOOB writeでRCE。
  • Discovery: T1082(System Information Discovery)—端末情報の収集が想定される。
  • Collection: T1123(Audio Capture), T1005(Data from Local System)—音声録音や端末内データ収集。
  • Command and Control: T1071(Application Layer Protocol)—HTTP(S)ベースのC2通信。
  • Exfiltration: T1041(Exfiltration Over C2 Channel)—収集データの外送。

根拠:不正DNGによりクライアント側でRCEが発生し、音声録音・端末内データ取得・C2通信・外送が観測(Unit 42報告/CISA通達)。

🏢 組織規模別助言

  • 小規模(〜50名):対象端末の即時棚卸しと一括更新。MDM未導入なら暫定で手動更新ガイドと完了申告フローを整備。高リスク職種(経営・営業)の端末を最優先。
  • 中規模(50〜500名):Knox/MDMで最低パッチレベルを強制し、未達は社内ネット分離。DNSフィルタとプロキシで新規ドメイン通信を監視。インシデント連絡手順を全社に周知。
  • 大規模(500名以上):E-FOTAの段階リング運用、ゼロデイ用緊急CAB、BYODとCOPEで差別ポリシー。モバイルEDRとSIEM連携でC2行動分析、法務・広報を含む危機対応演習を定例化。

🔎 類似事例

  • CVE-2025-21043:同libimagecodec.quram.soにおける別のゼロデイ。
  • Apple FORCEDENTRY(CVE-2021-30860):画像処理(JBIG2)経由のゼロクリックRCEでPegasus配布。
  • BLASTPASS(CVE-2023-41064/41061):画像処理チェーン悪用のゼロデイ連鎖。
  • libwebp脆弱性(CVE-2023-4863/5217):画像コーデック欠陥を広範アプリで悪用。

🧭 次の一手

  • 自社端末のセキュリティパッチレベル(Androidセキュリティ更新日)を即日監査し、未適用端末を隔離。
  • CISA KEVの購読と検知ルール更新(SIEM/EDR/DNSフィルタ)。
  • Samsung Mobile Securityの該当月次ブリテンでCVE-2025-21042/21043の修正可否を機種別に再確認。
  • Unit 42のLandFall分析を読み、C2特性とローダー(Bridge Head)のTTPを対策へ反映。

注:CVSSスコアは執筆時点で公表値を確認できていません。公開され次第、優先度付けとパッチSLAを改定してください。