2025年11月、Samsung Galaxyデバイスに存在するゼロデイ脆弱性(CVE-2025-21042)が悪用され、LANDFALLと呼ばれる商用レベルのスパイウェアが拡散していることが明らかになりました。この脆弱性は、画像処理ライブラリ「libimagecodec.quram.so」における境界外書き込みの欠陥であり、攻撃者がリモートから任意のコードを実行できる可能性があります。Palo Alto Networks Unit 42の分析によれば、この脆弱性は2024年中頃から悪用されており、Samsungが2025年4月にパッチをリリースする前に、すでに活発な攻撃が確認されていました。
この問題を受けて、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2025-21042を既知の悪用された脆弱性(KEV)カタログに追加しました。これにより、米連邦政府機関は2025年12月1日までに、ベンダーの指示に従って緩和策を適用するか、製品の使用を中止することが義務付けられました。民間企業も、セキュリティ体制を改善するためにKEVのガイダンスに従うことが推奨されています。
LANDFALLスパイウェアは、主に中東地域の被害者を標的としており、マイクの録音、位置情報の追跡、写真、連絡先、通話履歴の収集など、包括的な監視を可能にします。攻撃は、WhatsApp経由で悪意のあるDNG画像ファイルを送信する形で行われ、受信者が画像を開くと、スパイウェアがデバイスにインストールされる可能性があります。Palo Alto Networksは、この攻撃で使用されるインフラストラクチャと手法が、中東における他の商用スパイウェア活動と類似していることを指摘しており、民間部門の攻撃者(PSOAs)との関連性を示唆しています。
標的となるデバイスは、Galaxy S22、S23、S24シリーズ、Z Fold 4、Z Flip 4など、Samsungの主要なフラッグシップモデルの一部です。これらのデバイスのユーザーは、特に注意が必要です。
LANDFALLスパイウェアの侵入経路と機能
LANDFALLスパイウェアの感染経路は、WhatsApp経由で送信される悪意のあるDNG(Digital Negative)画像ファイルです。これらのファイルには、スパイウェアを実行するための共有オブジェクトライブラリが埋め込まれたZIPファイルが添付されています。攻撃者は、CVE-2025-21042の脆弱性を悪用して、このライブラリを抽出・実行し、スパイウェアをデバイスにインストールします。Palo Alto Networks Unit 42のItay Cohen氏によると、LANDFALLのサンプルは2024年7月23日まで遡ることができ、2025年2月には最新のアーティファクトがVirusTotalにアップロードされています。
スパイウェアがインストールされると、包括的なスパイツールとして機能し、マイクの録音、位置情報、写真、連絡先、SMS、ファイル、通話履歴などの機密データを収集します。Unit 42は、この攻撃がユーザーの操作を必要としないゼロクリックのアプローチを使用している可能性があると指摘していますが、現時点ではそれを裏付ける証拠や、WhatsAppに未知のセキュリティ上の問題が存在するという証拠はありません。
LANDFALLのローダーは、HTTPS経由でコマンド&コントロール(C2)サーバーと通信し、ビーコンループに入り、後続の実行のために指定されていない次の段階のペイロードを受信します。Cohen氏は、「現時点では、C2サーバーから配信される次の段階のペイロードに関する詳細を共有することはできません」と述べています。しかし、LANDFALLがモジュール式のスパイウェアフレームワークであることは明らかであり、ローダーは追加のコンポーネントをC2インフラストラクチャからフェッチして実行するように設計されています。これらの後の段階で、監視および永続化機能が拡張される可能性があります。
脆弱性CVE-2025-21042の詳細と影響
CVE-2025-21042は、Samsung Galaxyデバイスの「libimagecodec.quram.so」コンポーネントに存在する境界外書き込みの脆弱性です。CVSSスコアは8.8と評価されており、攻撃者がリモートから任意のコードを実行できる可能性があります。この脆弱性は、悪意のあるDNG画像ファイルを処理する際に発生し、メモリの境界外にデータを書き込むことで、デバイスの制御を奪うことを可能にします。Samsungは2025年4月にこの問題を修正するパッチをリリースしましたが、それ以前に活発な攻撃が確認されていました。
この脆弱性の悪用に成功した場合、攻撃者はデバイス上のほぼすべてのデータにアクセスし、ユーザーの行動を監視することができます。特に、マイクの録音、位置情報の追跡、写真、連絡先、通話履歴の収集は、プライバシー侵害の深刻な例です。また、攻撃者はデバイスを完全に制御できるため、追加のマルウェアをインストールしたり、他のデバイスへの攻撃を開始したりすることも可能です。
CISAがCVE-2025-21042をKEVカタログに追加したことは、この脆弱性の深刻さを改めて示しています。連邦政府機関は、2025年12月1日までにこの脆弱性に対する緩和策を講じる必要があり、民間企業も同様の対策を講じることが推奨されています。この脆弱性を放置することは、組織にとって重大なリスクとなる可能性があります。
スパイウェア「LANDFALL」の背後に潜む影
LANDFALLスパイウェアの背後にいる攻撃者の特定は、現時点では不明です。しかし、Palo Alto Networks Unit 42は、LANDFALLのC2インフラストラクチャとドメイン登録パターンが、Stealth Falcon(別名FruityArmor)のものと類似していることを指摘しています。ただし、2025年10月現在、2つのグループ間に直接的な重複は検出されていません。
Stealth Falconは、過去に中東地域を標的としたスパイ活動に関与していたことが知られています。このグループは、高度な技術と豊富な資金力を持ち、政府機関やジャーナリスト、人権活動家などを標的としていました。LANDFALLの攻撃がStealth Falconと関連している場合、その背後には国家レベルの支援が存在する可能性も否定できません。
LANDFALLの攻撃は、iPhoneデバイスも標的とした、より広範なDNGエクスプロイトの波の一部である可能性が示唆されています。これは、高度なエクスプロイトが長期間にわたって公開リポジトリにアクセス可能であり、完全に分析されるまで検出されない可能性があることを浮き彫りにしています。Palo Alto Networks Unit 42のCohen氏は、「Samsungが2025年4月にパッチをリリースしたため、この特定のエクスプロイトがまだ使用されているとは考えていません」と述べています。しかし、SamsungおよびiOSデバイスに影響を与える関連エクスプロイトチェーンは、2025年8月と9月にも確認されており、同様のキャンペーンがごく最近まで活発であったことを示しています。LANDFALLに関連する可能性のあるインフラストラクチャの一部もオンラインに残っており、同じオペレーターによる継続的またはフォローアップ活動を示唆している可能性があります。
過去の類似事例との比較と今回の攻撃の特徴
今回のLANDFALLスパイウェアによる攻撃は、過去に発生した類似の事例と比較することで、その特徴をより明確に理解することができます。例えば、2025年8月には、AppleとWhatsAppに関連するエクスプロイトチェーンが注目を集めました。また、2025年9月には、同様のゼロデイ脆弱性(CVE-2025-21043)を使用した攻撃が発生した可能性が指摘されています。これらの事例は、モバイルデバイスを標的とした高度なスパイウェア攻撃が、依然として活発であることを示しています。
今回のLANDFALL攻撃の特徴は、商用レベルのスパイウェアが使用されている点です。LANDFALLは、マイクの録音、位置情報の追跡、写真、連絡先、通話履歴の収集など、包括的な監視機能を備えており、被害者のプライバシーを著しく侵害する可能性があります。また、攻撃がWhatsApp経由で悪意のあるDNG画像ファイルを送信する形で行われるため、ユーザーが気づきにくいという点も特徴的です。
過去の事例と比較すると、今回の攻撃は、特定のデバイス(Samsung Galaxyの主要モデル)を標的としている点が異なります。これは、攻撃者が特定の脆弱性を持つデバイスを特定し、集中的に攻撃を仕掛けていることを示唆しています。また、攻撃に使用されるインフラストラクチャと手法が、中東における他の商用スパイウェア活動と類似していることから、民間部門の攻撃者(PSOAs)との関連性が疑われています。
企業とユーザーが取るべき対策と今後の展望
今回のLANDFALLスパイウェアによる攻撃を受けて、企業とユーザーは、以下の対策を講じることが重要です。まず、デバイスのOSとアプリケーションを常に最新の状態に保つことが不可欠です。Samsungは、CVE-2025-21042に対するパッチをすでにリリースしているため、速やかにアップデートを適用する必要があります。また、WhatsAppなどのアプリケーションも、最新バージョンにアップデートすることで、既知の脆弱性から保護することができます。
次に、不審なメッセージやファイルを開かないように注意することが重要です。特に、WhatsApp経由で送信されるDNG画像ファイルなど、見慣れないファイル形式の添付ファイルには注意が必要です。送信者が不明な場合や、内容に不審な点がある場合は、ファイルを開かずに削除することが推奨されます。さらに、セキュリティソフトを導入し、常に最新の状態に保つことも有効な対策です。セキュリティソフトは、悪意のあるファイルを検出し、デバイスへの侵入を防ぐことができます。
今後は、モバイルデバイスを標的としたスパイウェア攻撃が、ますます高度化・巧妙化していくことが予想されます。企業とユーザーは、常に最新の脅威情報を収集し、適切な対策を講じることで、リスクを最小限に抑える必要があります。また、セキュリティ意識の向上も重要です。従業員や家族に対して、セキュリティに関する教育を実施し、不審な行動やファイルに対する警戒心を高めることが、組織全体のセキュリティレベル向上につながります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CISA Adds Zero-Day Bug Used in Spyware Attacks to KEV - https://www.infosecurity-magazine.com/news/cisa-zeroday-bugspyware-attacks-kev/
- -Samsung Mobile Flaw Exploited as Zero-Day to Deploy LANDFALL Android Spyware - https://thehackernews.com/2025/11/samsung-zero-click-flaw-exploited-to.html