WhatsAppがAppleデバイスの‘ゼロクリック’スパイウェアバグを修正

WhatsAppは、ユーザーがリンクをクリックしたりファイルを開いたりすることなく、ハッカーが隠密にスパイウェアキャンペーンを利用していたiOSおよびMacアプリの重大なセキュリティ欠陥を修正しました。

Metaが所有するメッセージングプラットフォームは、この脆弱性（CVE-2025-55177として追跡される）が、先週修正されたAppleのソフトウェアの別の脆弱性（CVE-2025-43300）と組み合わさっていたと述べました。これらは合わせて、セキュリティ専門家が「ゼロクリック」エクスプロイトと呼ぶものを生み出しました。これは、ユーザーのアクションなしにハッカーがiPhoneやMacに侵入できるハックです。

「WhatsAppのリンクされたデバイス同期メッセージの不完全な認証は、無関係なユーザーがターゲットのデバイス上の任意のURLからのコンテンツの処理をトリガーすることを許可する可能性がありました」とWhatsAppは金曜日のセキュリティアドバイザリーで述べました。

「この脆弱性は、AppleプラットフォームのOSレベルの脆弱性（CVE-2025-43300）と組み合わさることで、特定のターゲットユーザーに対する洗練された攻撃で悪用された可能性があると評価しています。」

このゼロクリックの欠陥は、WhatsApp for iOSのバージョン2.25.21.73以前、WhatsApp Business for iOS v2.25.21.78、WhatsApp for Mac v2.25.21.78に影響を与えました。

今月初め、AppleはCVE-2025-43300のゼロデイ欠陥を修正するための緊急アップデートを展開し、すでに「非常に洗練された攻撃」で悪用されていたことを指摘しました。

両社は攻撃の背後に誰がいるかを公に特定する必要がありますが、アムネスティ・インターナショナルのセキュリティラボの責任者であるドンチャ・オ・ケアバイルは、WhatsAppが最近、約90日間続いた「高度なスパイウェアキャンペーン」に影響を受けた一部のユーザーに警告を発したと述べました。このキャンペーンは、世界中で200人未満の人々に影響を与えています。

目次

• WhatsAppの対応
• あなたがすべきこと

WhatsAppの対応

「特定の攻撃がWhatsAppを通じて発生するのを防ぐために変更を加えました。しかし、あなたのデバイスのオペレーティングシステムはマルウェアによって引き続き侵害されている可能性があるか、他の方法で標的にされる可能性があります」とWhatsAppの警告には記載されています。

ドンチャ・オ・ケアバイルは、このキャンペーンがiPhoneやMacにリモートで侵入するように設計されており、被害者がデバイスが侵害されているという警告を受けることはなかったと説明しました。その一方で、攻撃者はプライベートメッセージや機密データにアクセスできるようになりました。

「また重要なのは、Appleの脆弱性はコア画像ライブラリにあり、WhatsApp以外の他のアプリを通じても標的にされる可能性があるということです」とドンチャ・オ・ケアバイルは付け加えました。

WhatsAppが政府グレードのスパイウェアの配信チャネルとして使用されるのはこれが初めてではありません。2019年、同社はイスラエルのスパイウェアベンダーNSOグループを提訴しました。これは、ペガサスマルウェアが1,400台以上のデバイスに侵入したためで、ジャーナリストや活動家が含まれていました。最近では、WhatsAppはイタリアの市民社会グループを標的にした別のキャンペーンを妨害したと述べました。

セキュリティ専門家は、これらの攻撃が監視産業の力の増大を示していると警告しています。以前は知られていなかった脆弱性を悪用することで、攻撃者は最新のデバイスにも侵入できます。フィッシング攻撃とは異なり、ゼロクリックエクスプロイトはユーザーのアクションに依存しないため、予防や防御がほぼ不可能です。

あなたがすべきこと

日常的なWhatsAppユーザーにとって、リスクは非常に低いです。しかし、アプリとオペレーティングシステムをできるだけ早く更新することが重要です。

ジャーナリスト、活動家、その他の敏感な分野の人々には、セキュリティ専門家はAppleのロックダウンモードやAndroidの高度な保護モードをオンにして、追加の防御層を提供することを推奨しています。スパイウェアメーカーは常に弱点を探しているため、パッチが利用可能になったら、デバイスをパッチ適用し、最新の状態に保つことが最良の防御策です。