WhatsAppは、無料で使えるメッセンジャーアプリです。
多くの国や地域で広く利用されていて、テキストメッセージ、音声通話、ビデオ通話、写真や動画の共有などが可能で、インターネット接続があれば誰でも無料で利用でき、SMS料金はかかりません。
そして、エンドツーエンド暗号化によりメッセージや通話が安全に保護され、グループチャット機能も備わっています。
そんなWhatsAppで、悪用された脆弱性が修正されたというニュースがありました。
- CVE-2025-55177
この脆弱性はWhatsAppで確認されたものです。
WhatsAppはいろいろなOS環境で利用できますが、この脆弱性はiPhoneのiOS向けとmacOS向けとで発現するものでした。
そして、この脆弱性がAppleの環境側の脆弱性であるCVE-2025-43300と組み合わせて悪用される際に、大きな問題になることがわかりました。
無関係のユーザーが、対象のデバイス上の任意のURLからのコンテンツ処理を開始できる可能性があったというのです。
ゼロデイの脆弱性であり、ゼロクリックの問題だったのです。
標的となった人の端末に脆弱なバージョンのWhatsAppがインストールされていた場合、無関係の他人がその端末上で任意のURLを読み込ませることができるということになります。
そのURLのコンテンツ内容が悪意ある内容を含んでいたらどうなるでしょうか。
想像は容易です。
実際に、この脆弱性の組み合わせは脅威アクターによって悪用されたと考えられます。
そして、WhatsAppの運用チームは、この悪用をされたと考えられるWhatsAppユーザに、WhatsAppのアプリケーション内の通知機能を使って脅威の被害にあった可能性がある旨を通知したということです。
被害にあっていた場合、端末を完全に初期化して環境構築をし直すことが推奨されています。
大変なことです。
WhatsAppで運営からの通知が来るとか、びっくりします。しかも、その通知の内容が被害者かもしれないので初期化を推奨します、とか書いてあるのです。
ちなみに、Appleの環境のCVE-2025-43300は、単独でも危険な脆弱性となっています。
こちらも該当する環境を持っている人は、すみやかに対応を完了させておいたほうがよさそうです。
利用環境は全体的に最新状態に保つようにしたいと、再度思いました。
BREAKING: New zero-click exploit used to hack WhatsApp users.
https://x.com/DonnchaC/status/1961444710620303653
WhatsApp Security Advisories 2025 Updates CVE-2025-55177
https://www.whatsapp.com/security/advisories/2025/
| この記事をシェア |
|
|---|
