LANDFALLが突いたモバイルの盲点——Samsung画像処理ゼロデイ（CVE-2025-21042）とDNG経由の侵入

今日の深掘りポイント

• 画像パーサという見落とされがちな攻撃面が、E2EEメッセージング（WhatsApp）と結びつくことで、組織の周辺から中核データへ“静かに”到達し得る経路になっていた点が本質です。
• DNGという専門的かつ一般利用の少ないフォーマットを選んだことは、ユーザー警戒と自動検査の双方をすり抜ける意図が強いと見えます。メディア種別の最小権限・最小許可の設計が求められます。
• パッチは2025年4月に提供済みで直近リスクは低下したものの、BYODや海外・現地調達端末など、管理外デバイスの「パッチ・ラグ」が最も現実的な残余リスクです。
• E2EEゆえのコンテンツ不可視性が境界対策を空洞化します。MAM/MTD連携で“端末内でのメディア解析と実行”そのものを制御する設計が重要です。
• 本件は商用級スパイウェアの継続的な進化と、OEM独自実装を狙い撃ちする戦略の再確認事例です。AndroidエコシステムにおけるOEM差分の攻撃面管理がCISO課題として前景化します。

はじめに

Unit 42が報告した「LANDFALL」は、Samsung端末のAndroid画像処理ライブラリに存在したゼロデイ、CVE-2025-21042を突き、WhatsApp経由で送られる悪意のDNGファイルをトリガとして侵入する商用級スパイウェアです。侵入後は、マイク録音、位置追跡、写真・連絡先・通話履歴の収集まで担う、いわゆるフルスタックのモジュール式監視ツールです。脆弱性自体は2025年4月に修正済みで、最新パッチ適用済みのSamsungユーザーの直近リスクは抑制されますが、キャンペーンは2024年中頃には活動していたとされ、未パッチの長尾とBYOD・出張用端末、あるいは現地調達デバイスに残るリスクは無視できません。

本件の緊急性・実務適用可能性は共に高く、組織のモバイル管理における「E2EEメッセージング×メディアパーサ×OEM差分」という三層の盲点を同時に突く事例として、単発のゼロデイ対応にとどまらない設計変更を迫るインパクトがあると考えます。特に企業のMAM/MTD統合、メディア種別の制御、役割別の“メッセージング露出ポリシー”が、今後の標準装備になっていくはずです。

参考: Unit 42の一次報告（IOCやテクニカルディテール含む）［英語］は公開済みです。Unit 42: LANDFALL Is a New Commercial-Grade Android Spyware

深掘り詳細

事実（確認できていること）

• LANDFALLはSamsung Galaxyデバイスを狙った商用級Androidスパイウェアで、少なくとも2024年中頃から活動していたと報告されています。配布にはWhatsAppが利用され、悪性のDNG（Digital Negative）ファイルが誘導媒体になっていました。
• エクスプロイトに用いられたのはSamsungのAndroid画像処理ライブラリに存在したゼロデイ、CVE-2025-21042で、DNGの処理過程でリモートコード実行が可能になる欠陥です。当該脆弱性は2025年4月に修正されています。
• 機能面では、マイクロフォンの録音、位置情報の追跡、写真や連絡先、通話履歴の収集といった典型的な監視/収集機能を備え、モジュール式構造で必要機能を追加・拡張できる設計が示唆されています。
• Unit 42は、標的型の色彩が強く、中東地域を含む特定地域のターゲット狙いの監視用途で使われた可能性を指摘しています。
• 出典: Unit 42

インサイト（編集部の見立て）

• なぜDNGか: 一般ユーザーや業務利用での頻度が低く、フィルタリングや利用者の注意をすり抜けやすいことに加え、RAW系フォーマット特有の柔軟なメタデータ/IFD構造がパーサ実装のバグ温床になりやすいという“二重の利点”が攻撃者にあります。未知フォーマットの自動サムネイル生成・メディアインデックス処理は極力抑止すべきです。
• E2EE×OEM差分の組み合わせ: E2EEでコンテンツは境界・クラウドで検査しづらく、最終的には端末ローカルのパーサが唯一の「検査点」になります。そこがOEM固有実装で脆弱化していると、横断的な対処（AV/EDR/ゲートウェイ）では届きません。Androidの断片化（フラグメンテーション）に起因するOEM差分の脆弱性管理は、今後も商用スパイウェアが選好する攻撃面になり続けるはずです。
• パッチ・ラグの現実: 脆弱性が修正済みでも、BYODやリージョンごとの配信遅延、廉価帯モデル、現地調達端末などの“管理外”の裾野では、長期間の攻撃余地が残ります。中長期的には、脆弱なデバイスの社内ネットワーク接続そのものを制御する“デバイス健全性前提のゼロトラスト”が鍵になります。
• 規制/人権のコンテキスト: 標的型監視の色合いから、企業の要人・調達・渉外・記者/リサーチャーなど、個人と企業活動が地続きの領域での安全配慮義務が拡張されます。技術対策と並行して、役割別のモバイル運用ポリシー（渡航時の貸与端末、E2EEアプリの制限、メディア種別の受信制御）を制度として持つべき段階です。

技術論点の焦点（メッセージング×メディアパーサ）

• 発火点は「受信メディアの処理」です。多くのメッセージングは、ユーザー操作の有無にかかわらず、サムネイル生成やプレビューのためにメディア解析を行います。本件が完全なゼロクリックであったかは現時点で断定できませんが、少ない操作（プレビュー表示等）でRCEに至る設計だった可能性は高いと推測します（仮説）。
• 端末内で“アプリAが受け取ったデータを、OS/ライブラリBが解析する”クロスアプリ境界を経由するため、アプリサンドボックス上の想定に“隙間”が生じます。特にOEMカスタムのメディアパイプラインは、セキュリティレビューとFuzzingの継続投資が不可欠です（サプライヤ連携の課題）。

脅威シナリオと影響

以下はMITRE ATT&CK for Mobileに沿った仮説ベースのシナリオ整理です（公開情報から裏取りできる事実は上段に限定し、詳細は仮説である旨を明示します）。

• シナリオA: メッセージング経由のRCEでの静音侵入（仮説を含む）
  • Initial Access（Spearphishing via Service/Content Delivery）: WhatsAppでDNGが標的に送付される（事実）。
  • Execution（Exploitation for Client Execution）: 画像処理ライブラリの脆弱性（CVE-2025-21042）によりDNG解析時にコード実行（事実）。
  • Persistence（仮説）: 自動起動許可やバックグラウンドサービス登録、あるいは受信ブロードキャストの悪用。
  • Privilege Escalation/Defense Evasion（仮説）: サイドローディングや難読化、システムAPIの悪用。
  • Discovery/Collection（事実）: 端末情報、位置、マイク、写真、連絡先、通話履歴の収集。
  • C2/Exfiltration（仮説）: HTTPS/TLSでの常時ビーコンと分割送信、タイミングをぼかしたスロットリング。
• シナリオB: 役員・要人の個人端末を経由した企業情報流出
  • 役員・渉外・調達の個人用WhatsAppが侵害され、会議音声・渡航計画・カレンダー情報、端末内の業務写真が外部流出（仮説）。
  • BYODでWork Profileを併用している場合、コンテナ境界の直接突破は困難でも、画面・音声・通知情報の収集から実質的な情報摂取が成立（仮説）。
• シナリオC: 渡航時の現地調達端末の“踏み台化”
  • 出張用の現地SIM＋端末が侵害され、連絡先・通話のメタデータや位置履歴が継続的に収集される。関係者ネットワークの特定や面談相手の把握に利用される（仮説）。

影響評価の勘所としては、攻撃の緊急性と実施可能性が比較的高く、広範囲な一般拡散よりも、選択的に価値目標へ投下する“静かな侵入”に適しています。従来の境界・ゲートウェイ主導の検査がE2EEで効きづらい点、そしてOEM固有の脆弱化が横断防御を擦り抜ける点が、現場の運用を難しくします。

セキュリティ担当者のアクション

短期の被害抑止から中長期の設計変更まで、優先度順にまとめます。

• 影響資産の即時棚卸とパッチ適用

  • Samsung端末のSMR（セキュリティメンテナンスリリース）レベルを資産台帳で可視化し、2025年4月以降のパッチ適用をSLA化します。Knox ManageやE-FOTAを利用して強制適用を推奨します。
  • 管理外（BYOD/現地調達）の一時隔離ルールを定義し、社内ネットワーク・業務SaaSへのアクセスにデバイス健全性（OSバージョン/パッチレベル）を必須化します。

• メディア種別の最小許可とE2EE時代の“端末内”防御

  • MAM/EMMでWork Profile内アプリの「自動メディアダウンロード」を無効化し、少なくともRAW/DNGの受信・保存を禁止します（アプリ設定の強制適用が可能な場合）。
  • CASB/ゲートウェイでは、事業で利用するメッセージング/コラボサービスに対しDNG等のRAW系拡張子・MIME（例: image/x-adobe-dng）をブロック。E2EEで適用できない領域は、端末側（MTD）でのコンテンツ処理監視に寄せます。
  • MTD（Mobile Threat Defense）をEMMと連携し、メディアパーサの異常クラッシュ、未知バイナリ生成、感度の高いセンサ/APIアクセスの急増といったシグナルを相関監視します。

• ハンティングとインシデント対応（IR）整備

  • ハンティング仮説: WhatsAppメディアディレクトリにおけるDNG出現、直後のクラッシュログ・ANR、メディア解析プロセスの異常、ネットワークの小容量・高頻度TLS接続の出現などを相関（仮説ベース）。
  • 感染疑い端末はユーザー操作を止め、機内モード化→電源OFF→法科学対応可否の判断。業務データが混在するBYODでは、プライバシー配慮と証拠保全のバランスを踏まえた専用手順をあらかじめ用意します。
  • 高リスク職種（経営層・渉外・調達・調査報道など）向けの“渡航セット”を策定。貸与端末は最小アプリ、メディア自動処理無効、帰国後は初期化・再プロビジョニングを標準にします。

• OEM差分リスクへの構造的対応

  • 調達・端末標準の見直しとして、OSメジャーアップグレードの提供年限、SMRの迅速性、Knox/Android Enterpriseの制御到達範囲を評価指標に含めます。
  • 画像・音声・動画など“自動解析”を伴うコンポーネントの更新可用性（Play System Update、Mainlineなど）を重視し、OEM固有ライブラリの脆弱化に対する露出を低減します。
  • ベンダ連携: セキュリティアドバイザリの取り込みを自動化し、CVEのOEM影響判定→資産照合→展開計画までを半自動化するワークフローを整備します。

• コミュニケーションと訓練

  • 一般啓発ではなく、対象を絞った“役割別”メッセージングが有効です。例えば「RAW画像（DNG等）を受け取る必要がない職種は、業務端末では一律ブロック」「WhatsAppはWork Profile外でのみ使用可」などの明確なルール化を行います。
  • セキュリティチーム内では、E2EEアプリと端末内パーサが交差する攻撃面のレビュー演習を行い、可視化ギャップをチーム共通認識にします。

メトリクス観点の所感として、本件は新規性と即応性のバランスが悪くない案件です。大規模ばらまきというよりピンポイントでの深い侵入・長期監視に向くため、リスク評価は「発生確率は中〜高、影響は対象依存で高」という読みが現実的です。業務でRAW画像を扱わない組織は、DNGを含む生メディアを思い切ってブロックするだけで、攻撃面を大きく削れます。逆にメディア業務がある組織は、サンドボックス化された変換（CDR）や専用デバイスへの隔離処理を標準フローに据えるのがよいです。

参考情報

• Unit 42: LANDFALL Is a New Commercial-Grade Android Spyware（一次報告）: https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/