WhatsAppは、特定のAppleデバイスユーザーを標的としたスパイウェア攻撃に利用された脆弱性を修正したと発表しました。この脆弱性は、iOSおよびMacアプリで発見されたもので、CVE-2025-55177として知られています。Metaが所有するこのメッセージングアプリは、Appleが先週修正した別の脆弱性(CVE-2025-43300)と共に使用されていたとしています。
Appleは、これらの脆弱性が特定の個人を標的とした非常に高度な攻撃に使用されたと述べています。WhatsAppのユーザー数十人がこの脆弱性の影響を受けたことが確認されています。
アムネスティ・インターナショナルのセキュリティラボを率いるドンチャ・オ・ケアバイル氏は、この攻撃を「高度なスパイウェアキャンペーン」として説明し、過去90日間、つまり5月末からユーザーを標的にしていたと述べています。この攻撃は「ゼロクリック」と呼ばれ、被害者がリンクをクリックするなどの操作を必要とせずにデバイスを侵害するものです。
この2つの脆弱性を組み合わせることで、攻撃者はWhatsAppを通じて悪意のあるエクスプロイトを送り込み、Appleデバイスからデータを盗むことが可能になります。オ・ケアバイル氏によれば、WhatsAppが影響を受けたユーザーに送信した通知のコピーを投稿し、この攻撃によりデバイスとその中のデータ、メッセージを含む情報が危険にさらされる可能性があるとしています。
攻撃の背後にいる人物やスパイウェアベンダーは明らかになっていません。TechCrunchの取材に対し、Metaの広報担当者マルガリータ・フランクリン氏は、数週間前に脆弱性を検出して修正したと確認し、影響を受けたWhatsAppユーザーに「200未満」の通知を送ったと述べています。特定の攻撃者や監視ベンダーに攻撃を帰する証拠があるかどうかについては、コメントを控えました。
WhatsAppユーザーが政府のスパイウェアによって標的にされたのはこれが初めてではありません。5月には、米国の裁判所がスパイウェアメーカーのNSOグループに対し、2019年のハッキングキャンペーンでWhatsAppに1億6700万ドル(約2585億円)の損害賠償を命じました。このキャンペーンでは、NSOのPegasusスパイウェアを植え付けるエクスプロイトを使用して、1400人以上のWhatsAppユーザーのデバイスが侵害されました。
今年初めには、WhatsAppがイタリア全土でジャーナリストや市民社会のメンバーなど約90人を標的としたスパイウェアキャンペーンを阻止しました。イタリア政府はこのスパイ活動への関与を否定し、キャンペーンで使用されたスパイウェアの製造元であるParagonは、イタリアが乱用を調査しなかったため、ハッキングツールの提供を停止しました。