WhatsApp画像を踏み台にSamsung画像処理ライブラリ（CVE-2025-21042）を突く「LANDFALL」──ゼロクリック級の侵入と商用スパイウェア並みの運用が示す現実

今日の深掘りポイント

• 画像処理の自動化（プレビュー生成やメディアスキャン）が「受信だけで侵入」を可能にするゼロクリック級のリスクへと発展しやすい設計的脆弱性を突いた事案です。
• 攻撃はSamsungの独自実装（画像処理ライブラリ）を標的化し、S22/S23/S24やZ Fold4/Flip4といった現行〜準現行機を狙うため、企業のAndroidエステートに直撃します。
• 2025年4月に修正が提供済みとされるため、いま問われるのは「パッチ適用率の可視化と強制」、および「メッセージング経路の自動処理抑制」という運用制御の設計です。
• E2EEメッセージング（WhatsApp）経由ゆえにネットワーク側の検知は原理的に難しく、MTD（Mobile Threat Defense）/EMM・Knoxを軸にした端末寄りの検知・封じ込めが要諦です。
• 実運用（フィールド）での展開が報じられており、信頼性・実現可能性がともに高い脅威です。緊急度は高〜中高で、直ちにフリートのパッチ適用状況とメディア自動処理の方針を見直すべき段階です。

はじめに

Unit 42の報告に基づく「LANDFALL」キャンペーンは、Samsungの画像処理ライブラリに存在した未知の0-Day（CVE-2025-21042）を、WhatsAppで流通する画像ファイルへ偽装して悪用する高度なAndroidスパイウェアです。対象はGalaxy S22/S23/S24やZ Fold4/Flip4などで、マイク録音、位置追跡、通話履歴、写真・連絡先・SMS抽出といった商用スパイウェア級の収集機能を備え、持続化や回避までカバーしていると報じられています。初出が2024年7月、Samsungは2025年4月のアップデートで修正済みとされますが、中東地域では実戦投入が確認されており、企業エステート内の未適用端末があれば即座にリスクが顕在化します。

参考として公開報道（二次情報）では、当該脆弱性とキャンペーンの概要が整理されています。一次情報（ベンダーアドバイザリや研究者のフルレポート）の精査を待つ部分はあるものの、実運用に関する信頼性は高く、企業の対応は待ったなしの段階です。GBHackersの解説（Unit 42報告を参照）を末尾に参考リンクとして付します。

深掘り詳細

事実関係（公開報道に基づく）

• 攻撃名とベクタ
  • キャンペーンは「LANDFALL」。WhatsApp経由で配信される悪意のある画像ファイルをトリガーに、Samsungの画像処理ライブラリに内在したCVE-2025-21042を突くと報じられています。
  • 報道ではDNGなどの画像形式を悪用し、画像のプレビュー生成・メタデータ抽出・メディアスキャンといった自動処理を足場にゼロクリック級の侵入が成立し得る設計上の危うさが示唆されています（ゼロクリック成立条件は実装依存であり、詳細は一次情報の精査が必要です）。
• 対象デバイスと時系列
  • 対象はGalaxy S22/S23/S24、およびZ Fold4/Flip4とされます。
  • 初観測は2024年7月。Samsungは2025年4月のセキュリティアップデートで修正提供済みと報じられています（企業側では「2025-04」以降のパッチレベル確認が要点になります）。
• 機能と運用
  • 収集機能は音声、位置、通話履歴、写真、連絡先、SMSなど広範。
  • モジュラー構成で、感染後に追加モジュールを取得して機能拡張・持続化を図る運用が示唆されています。
  • 中東での標的型侵入が確認され、国家・準国家アクターあるいはコマーシャルスパイウェア系のプレイヤー関与が推測されます（帰属は未確定であり仮説の域です）。

出典（公開報道）: GBHackersの概説

Packet Pilotの視点（インサイト）

• ゼロクリック“級”の構造的リスク
  • 画像やドキュメントのプレビュー生成・メタデータ抽出はUXを支える一方、アプリを“開かない”段階でもコンテンツが自動処理される設計を生みます。メッセージング×メディア自動処理という組合せは、E2EEによりネットワーク側の可視性が下がるほど、端末側の一次防御に依存する構造的リスクを孕みます。今回の事案はその悪手本で、メッセージの利便性（自動ダウンロード/プレビュー）と安全性のトレードオフを制度設計で再調整すべき局面を強く示唆します。
• 「OEM独自実装×人気機種」の破壊力
  • AndroidはベースOS以外に、OEMの独自コンポーネント（画像処理、メディアパイプライン、カメラHALなど）が厚く積まれます。Samsungのように市場占有が高いOEMで独自ライブラリに0-Dayが入ると、単一CVEが世界規模の同質リスクを作ります。標的がS22/S23/S24/Z 2022世代という“現役主力帯”に集中している点も脅威の実効性を高めます。
• パッチは“提供”から“適用率”へ
  • 2025年4月修正が提供済みでも、企業エステートでは「適用率」「最小パッチレベル準拠」「Knox/EMMでの強制更新」が整っていなければ、脅威は現在進行形です。Android端末はキャリア・地域・機種で配信が分岐するため、Windowsサーバのような一律なSLAは作りづらい分、可視化と強制の運用設計が肝になります。
• E2EE時代の検知運用
  • WhatsAppはE2EEのため、中身での検知は困難です。通信は正規先（WhatsApp/CDN）へ向かうため、ネットワークIDS/IPSは本質的に役立ちません。検知は端末側テレメトリ（MTD/EDR for Mobile）、およびC2フェーズの外向き通信の異常（未知FQDN・不自然なタイミング相関）を狙う以外ありません。企業は“ネットワークで守る”から“端末で止める”への設計転換が必要です。

脅威シナリオと影響

以下はMITRE ATT&CK（Mobile）に沿って組み立てた仮説的シナリオです（技術IDは実装差や公開情報により変動し得ます）。一次技術報告の更新に応じて見直す前提の叩き台として提示します。

• 初期侵入（Initial Access）
  • メッセージングアプリ経由で画像ファイルを送付。自動プレビュー生成やメディアスキャンが走ることで、ユーザー操作なしでもクライアントサイドの脆弱性がトリガーされる可能性があります（ゼロクリック級）。
• 実行（Execution）
  • 画像処理ライブラリの欠陥を突く任意コード実行。アプリサンドボックス内でシェルコード/ペイロードを展開。
• 権限昇格（Privilege Escalation）
  • 追加のローカルエクスプロイト、またはメディアスタック特権を悪用して権限を拡張。デバイス管理APIやアクセシビリティの乱用で恒久化の下地を作る可能性があります。
• 永続化（Persistence）
  • アクセシビリティサービスの乱用、デバイス管理者権限の取得、受信ブロードキャスト登録などで再起動後も常駐。
• 防御回避（Defense Evasion）
  • 暗号化/難読化、正規プロセスに偽装、ログ削除、バッテリー/ネットワーク使用の平準化。
• 資格情報/探索（Discovery/Collection）
  • 端末情報・位置情報・連絡先・通話履歴・SMS・写真へアクセス、マイク録音のオンデマンド制御。
• C2/持ち出し（Command and Control/Exfiltration）
  • HTTPS/TLS経由でC2サーバと通信、収集データをバッチ/ストリーミングで送信。タイムゾーン/滞在地に合わせた運用オペレーションが想定されます。

影響面の考察:

• エグゼクティブ、出張者、記者、外交・公共政策関連など、高価値個人の行動・人間関係・会話内容が包括的に収集されるリスクがあります。
• WhatsAppは企業の正式コミュニケーション手段ではない場合でも、BYODや役員私物端末経由で業務接点に接触し得るため、組織の情報流出・恐喝・対人工作（対人脆弱性の分析）に直結します。
• パッチが提供済みであっても、更新停止端末や地域・キャリア事情で未適用の長期滞留が起きやすく、長尾リスクが残存します。

参考（MITRE ATT&CK for Mobileの全体像）:

• MITRE ATT&CK Mobile Matrix（概説）: https://attack.mitre.org/matrices/mobile/

セキュリティ担当者のアクション

優先度順に、現実的に“いま動けること”を列挙します。

• パッチ・コンプライアンス（最重要）

  • 最低準拠ラインを「Androidセキュリティパッチレベル 2025-04 以降」に設定し、EMM/Knox Manageで強制準拠（非準拠は業務アプリ遮断）にします。
  • 機種・キャリア・地域ごとの配信遅延をダッシュボード化し、S22/S23/S24/Z Fold4/Z Flip4の適用率を個別に可視化します。
  • Knox E-FOTA等の仕組みでOS/セキュリティ更新の段階的配信（リング方式）を構築し、週次で滞留率をレビューします。

• メッセージング経路の露出低減

  • ポリシーとしてWhatsAppを業務端末（COPE/COSU）では禁止、BYODはワークプロファイル分離を徹底します。
  • 可能な範囲でメディアの自動ダウンロード/プレビュー生成を無効化、少なくとも「画像はユーザー操作時のみ処理」の原則へ。ギャラリー連携（Save to Gallery）も無効化を検討します。
  • 高リスク地域への出張時は“トラベル端末”（最小アプリ・最新パッチ・使い捨て前提）を貸与します。

• 検知・対応のモバイル偏重への転換

  • MTD（例: Defender for Endpoint on Android, Lookout, Zimperium等）を標準化し、アクセシビリティ乱用・不審権限・常駐通信・録音起動のテレメトリを活用します。
  • C2兆候のハンティング: 端末側エージェントのDNSログ/接続先FQDNの新規性、WhatsAppメディア受信直後に発生する外向き通信の相関を相対検知します（E2EEのため内容ではなく時系列の相関で見る設計です）。
  • Knoxデバイス健全性（Attestation）を活用し、root・ブートローダ解放・保護機構無効化の兆候で自動隔離します。

• 標的保護（人物ベースのコントロール）

  • 役員・広報・国際渉外・研究開発のキーパーソンを“ハイバリュー・ユーザー”に指定し、更新失敗・不審挙動のアラートSLAを短縮、モバイルMDRの優先トリアージ対象にします。
  • 個人端末への最低限のセキュリティ教育（メディア自動処理の危うさ、見知らぬ送信元からのコンテンツは開かない/保存しない）が本件では依然有効です。ゼロクリック級でも人間系の回避行動は一定の被弾確率を下げます。

• インシデント対応プレイブックの更新

  • 兆候（急なバッテリー消費増、発熱、マイク使用インジケータ頻発、アクセシビリティ許可の不自然な付与、未知アプリのデバイス管理権限取得）をトリガーにしたモバイルIR手順を策定します。
  • 初動はネットワーク隔離ではなく“端末隔離→フォレンジック取得→ワイプ/再プロビジョニング”の流れを標準化します。

• ガバナンス

  • メッセージングの業務利用ガイドラインを見直し、E2EEプラットフォーム上での業務データ取り扱いを再定義します。必要ならば業務は管理可能なチャネル（企業メッセージング）へ一本化します。

参考までに、本件の公開報道は信頼性が高く、攻撃の実運用性も高いことから、緊急度は高〜中高と評価します。すでに修正が出ているとはいえ、Androidのパッチ普及の“すり抜け”が現実的に起きるため、今週中の適用率調査と準拠強制、メディア自動処理の見直しは“いま”取り組むべきアクションです。

参考情報

• 概要（Unit 42報告の二次紹介）: GBHackers「Samsung 0-Day Vulnerability Exploited by LANDFALL via WhatsApp Images」: https://gbhackers.com/samsung-0-day-vulnerability/
• MITRE ATT&CK for Mobile（戦術・技術の全体像）: https://attack.mitre.org/matrices/mobile/

注記: 本稿は上記公開報道に依拠しつつ、一次資料（研究者フルレポート・ベンダー公式アドバイザリ）の個別技術値（CVSS・PoCの細部・エクスプロイト連鎖の精密手順）を待つ点が一部あります。ゼロクリック成立条件やDNGの自動処理パスなどは実装差があり得るため、検証情報の更新に合わせて運用方針を適宜アップデートすることを推奨します。