CISAが警告：商用スパイウェアがSignal/WhatsAppの高価値ユーザーを狙い撃ち——偽アプリとゼロクリックが主軸です

今日の深掘りポイント

• モバイルE2EEは“輸送路”を守るに過ぎず、端末が侵害されれば暗号化は無力化されます。ゼロクリックや偽アプリで端末側を奪取するのが商用スパイウェアの定番です。
• 標的は政府・外交・報道・経営層など「価値の高い会話」を持つ個人や少人数チームです。BYODや出張・私用デバイスが弱点として突かれます。
• 直近の優先策は、MDMの監督下への全面移行、サイドロードとプロファイル導入の全面禁止、OS更新強制、ネットワーク越しのIOC監視です。
• 過去の実例（WhatsApp 2019のRCE、iOSのBLASTPASS連鎖）と整合的で、緊急度と発生確度が高い一方で「新規性」は限定的です。対策は“いまある運用をやり切る”領域にあります。
• MITRE ATT&CK for Mobileに沿うと、初期侵入は偽アプリ/脆弱性悪用、永続化は権限悪用、収集は画面録画・音声・通知、C2/流出はTLS隠蔽というパターンです。SOCの可視化対象を明確化できます。

はじめに

CISAが、商用スパイウェアやRATを用いたメッセージングアプリ利用者への攻撃活発化を警告しています。攻撃者は巧妙なターゲティングとソーシャルエンジニアリングで偽アプリを配布し、場合によってはゼロクリックの脆弱性連鎖でユーザー操作なしに端末を乗っ取ります。標的は外交官・記者・市民団体から企業経営層まで広がり、E2EEの安心感に寄りかかる運用は通用しない段階に入っています。

本稿では、報道の要点を既知の一次資料と照合しつつ、エンタープライズの運用に落とす視点で深掘りします。CISAの一次アドバイザリURLは本稿執筆時点で確認できていないため、二次報道の要点と過去の一次情報を突き合わせて分析しています（報道出典は参考情報参照）［The Hacker News］。

参考:

• CISA警告の報道（The Hacker News）: https://thehackernews.com/2025/11/cisa-warns-of-active-spyware-campaigns.html

深掘り詳細

事実整理：CISAの警告と既知の実例

• 報道によれば、商用スパイウェア/RATの配布に「偽のSignal/WhatsAppアプリ」や「ゼロクリック」手口が用いられ、米国・中東・欧州の高価値個人が狙われています［The Hacker News］。偽アプリはメッセンジャーの名を借りたクローンや“更新版”を装い、サイドロードや非公式ストア経由で導入されます。
• ゼロクリック脆弱性がメッセージング基盤経由で突かれた実例は複数あります。代表例として、2019年のWhatsAppのRCE（遠隔コード実行）は通話処理の欠陥を突くもので、ユーザー操作なしに侵入が可能でした（CVE-2019-3568、NVDに記録）［NVD CVE-2019-3568］。
• iOSでは、2023年に画像処理コンポーネント等の欠陥を連鎖させるゼロクリックが野外で観測され、修正が行われています（CVE-2023-41064/41061、NVD）［NVD CVE-2023-41064］［NVD CVE-2023-41061］。
• これらはE2EEの強度とは無関係に「端末側を奪取し、暗号化前後の平文を収集する」常道であり、CISAの警告内容と整合的です。Google Project Zeroの年次レビューでも“野外で悪用されたゼロデイ”の相当数が商用スパイウェア・エコシステムと結びつくことが指摘されており、エコシステムの持続性が読み取れます［Google Project Zero 2023年レビュー］。

出典:

• NVD（CVE-2019-3568, WhatsApp RCE）: https://nvd.nist.gov/vuln/detail/CVE-2019-3568
• NVD（CVE-2023-41064, ImageIO）: https://nvd.nist.gov/vuln/detail/CVE-2023-41064
• NVD（CVE-2023-41061, Wallet/PassKit）: https://nvd.nist.gov/vuln/detail/CVE-2023-41061
• Google Project Zero 年次レビュー: https://googleprojectzero.blogspot.com/2024/02/0-days-in-the-wild-2023-year-in-review.html

インサイト：E2EEの限界、攻撃者の“運用”、そしてこちらの盲点

• E2EEの“限界”は端末セキュリティに収束します。攻撃者は「チャネル暗号」を避け、端末奪取・権限昇格・権限濫用（アクセシビリティ、通知読み取り、画面録画）で会話・添付・通話音声を取得します。偽アプリで始め、権限昇格や追加ペイロード投下で完全侵害に寄せる二段構えが典型です。
• 攻撃者の“運用”は静的IOC頼みの検知を躱す方向に進んでいます。短命ドメイン、クラウド共有基盤のC2、DoH/DoTでのテレメトリ隠蔽、利用者の日常操作に偽装した少量・高頻度の流出など、振る舞いベースとネットワーク観測の併用が不可欠です。
• 防御側の“盲点”はモバイル資産管理とログの断絶です。BYODや役員端末がMDM外に存在し、サイドロードやプロファイル導入の可否が統制されていないと、一発で負け筋に入ります。E2EEアプリの是非ではなく、MDM/MTD、ネットワーク強制（Per-App VPN/Private DNS）、高リスク個人プログラムの制度化が主戦場です。
• 総合的に見て、今回の警告は新奇なブレイクスルーというより、既存の脅威の延長線上で“緊急度・発生確度が高い”カテゴリに位置づきます。つまり、対策は新規投資よりも「禁止する・監督下に置く・更新を強制する・観測する」をやり切る運用の徹底にあります。

脅威シナリオと影響

以下はMITRE ATT&CK for Mobileの戦術に沿った仮説シナリオです。具体的なマルウェア名や脆弱性は一例であり、環境に応じて差分があります［MITRE ATT&CK Mobile］。

• シナリオA：偽Signal/WhatsApp更新でのサイドロード（Android）

  • 初期侵入（Initial Access）：偽アプリ配布（ソーシャルエンジニアリング、非公式ストア/リンク）
  • 実行（Execution）：ユーザー承認で実行、難読化済みコード
  • 永続化（Persistence）：自動起動、アクセシビリティ権限・通知アクセスの悪用
  • 権限昇格/防御回避（Privilege Escalation/Defense Evasion）：脆弱性悪用やパッケージ隠蔽
  • 資格情報/収集（Credential Access/Collection）：通知/画面内容、マイク、キーロガー相当
  • C2/流出（C2/Exfiltration）：TLS/DoHで断続的に送信
  • 影響：E2EEメッセージと通話の内容流出、連絡先・予定からの二次攻撃

• シナリオB：ゼロクリック連鎖でのiOS侵入

  • 初期侵入：メッセージング経由のゼロクリックRCE（過去のCVE-2023-41064/41061のような連鎖の類型）
  • 権限昇格：カーネル/サンドボックス脱出
  • 防御回避：ログ抑制、プロセス名偽装、短命C2
  • 収集：メッセージDB、通話、位置情報、スクリーンショット
  • 影響：役員・外交交渉の会話可視化、交渉力と信頼の喪失、対人工作への踏み台化

• シナリオC：MDM/プロファイル悪用（iOS/Android）

  • 初期侵入：フィッシングで偽MDM登録、または正規MDMの資格情報濫用
  • 実行/永続化：管理チャネル経由でアプリ配布・設定変更
  • 収集/C2：企業VPNを経由した秘匿、監査回避
  • 影響：監督外端末が“監督下風”に見え、SOCの盲点化

• シナリオD：アカウント乗っ取り（SIMスワップ/通話網悪用）

  • 初期侵入：SMSベースの再登録フロー悪用
  • 永続化：二段階認証未設定の継続的な奪取
  • 影響：なりすましによる社内外の横展開、暗号化バックアップからの復元で既読化・情報漏えい

参考:

• MITRE ATT&CK for Mobile: https://attack.mitre.org/matrices/mobile/

セキュリティ担当者のアクション

“できること”は明確です。緊急度と実行可能性のバランス的にも、まず運用の徹底から着手します。

• 端末統制（最優先）

  • 全役員・広報・渉外・TI担当をMDM監督下へ移行します（iOSは監督モード、Androidは完全管理/業務専用）。
  • サイドロード全面禁止（Androidの「不明なアプリのインストール」を無効）、iOSの構成プロファイル自己導入を禁止します。
  • 最低OSバージョンを強制し、更新猶予を短縮します。脆弱性告知直後の“強制更新”の打鍵プロセスを事前に整備します。

• 通信・観測

  • メッセンジャーはPer-App VPNで社内出口を強制し、DNSはDoT/DoHを社内の解析可能なリゾルバに固定します（暗号化は維持、観測は社内で）。
  • モバイル向けMTDの導入を検討し、少なくとも以下のテレメトリを取得します：不明ソースのアプリ導入試行、アクセシビリティ/通知権限の付与イベント、クリップボード・画面録画の異常、短命ドメインへの小粒トラフィックの頻発。
  • C2の一般的挙動（不規則なビーコン、ユーザー操作と無関係な時間帯の送信）をシグナル化し、SIEMで相関します。

• 高リスク個人（HVI）プログラム

  • 役員・広報・渉外・現地駐在者に“高リスク端末運用ガイド”を適用します（旅行用“クリーン端末”、プライベート用と業務用の分離、不要なメッセンジャー停止）。
  • iOSのロックダウンモード等のハードニング機能の適用検討、WhatsApp/Signalの登録ロック・二段階認証の強制、既読・プレビュー表示の抑制など、“攻撃面の減衰”を標準にします。
  • 訓練は「偽更新」「バックアップ移行」誘導を中心に、短い反復で定着させます。

• インシデント・レスポンス（モバイル特化）

  • 端末侵害疑い時は、即時隔離（セルラー/無線）、“ワイプ前の”メタデータ保全、法務・広報・CTI同席で外部公表判断までの手順を整備します。
  • 社内にフォレンジック体制がない場合は、信頼できる専門機関へのエスカレーション動線を明確化しておきます。オープンな検査支援ツール（Mobile Verification Toolkitなど）も選択肢です［MVT］。
  • アカウント乗っ取りが疑われる場合は、再登録のロックと連絡先への迅速な注意喚起を標準手順に含めます。

• 資産・アプリ・権限の最小化

  • 役員端末の“必要最小”アプリ原則、アクセシビリティ・通知読み取り・画面録画の権限は原則禁止し、例外は申請制でログ化します。
  • クリッピング系やユーティリティ系（電卓・スキャナ・ファイル変換など）に偽装する不審アプリの棚卸しを定期実施します。

• 情報連携と評価

  • CISAやベンダーのIOC/検知ルールは随時取り込み、ネットワーク側（DNS/TLSフィンガープリント）と端末側（MDM/MTD）で二重化します。
  • 取引先・PR代理店・ロビイング会社など、役員と頻繁にやり取りする外部のモバイル衛生状態も、契約条項とセキュリティレビューの範囲に含めます。

• ガバナンス

  • メッセンジャーの利用方針（業務許可アプリの種類、バックアップの取り扱い、個人端末利用の是非）を見直し、例外運用を帳票化します。
  • サプライヤー評価では、MDM運用の成熟度やゼロクリック対応プロセス（緊急更新、CVE対応SLO）を評価項目に含めます。

メトリクスの観点では、緊急性と発生確度が高く、運用で打てる手が多い一方、ポジティブ要素は乏しい案件です。投資対効果を意識するなら、短期は“禁止と強制（サイドロード禁止・更新強制）”、中期は“観測（Per-App VPN＋DNS/TLS分析）”、長期は“HVIプログラムの制度化”の三段ロケットで優先づけるのが現実的です。

参考情報

• CISA警告の報道（The Hacker News）: https://thehackernews.com/2025/11/cisa-warns-of-active-spyware-campaigns.html
• NVD（CVE-2019-3568, WhatsApp RCE）: https://nvd.nist.gov/vuln/detail/CVE-2019-3568
• NVD（CVE-2023-41064, ImageIO）: https://nvd.nist.gov/vuln/detail/CVE-2023-41064
• NVD（CVE-2023-41061, Wallet/PassKit）: https://nvd.nist.gov/vuln/detail/CVE-2023-41061
• MITRE ATT&CK for Mobile: https://attack.mitre.org/matrices/mobile/
• Mobile Verification Toolkit（MVT）: https://github.com/mvt-project/mvt

注記：CVEや攻撃手法の例は過去に野外で確認された一次情報へのリンクで補強していますが、今回のCISA警告に含まれる個別のIOCや脆弱性IDは本稿時点で一次資料を確認できていないため記載していません。実務適用にあたっては、CISAの原文アドバイザリと最新IOCの取得・反映を推奨します。