Samsungは2025年9月14日、Galaxyスマートフォンへの攻撃が進行中であることを警告し、9月のセキュリティアップデートを改訂した。脅威はAndroid 13以降を実行するデバイスに影響する。
問題となっているCVE-2025-21043は、WhatsAppが報告した画像解析ライブラリ内のメモリ脆弱性である。この脆弱性により、攻撃者は遠隔デバイス上で悪意のあるコードを実行できる。WhatsAppは30億人のユーザーを擁し、ほぼ全てのGalaxy端末にインストールされている。
ZimperiumのBrian Thorntonは、このゼロデイ脆弱性について言及した。Samsungによれば、リスクは「libimagecodec.quramにおける境界外書き込み」にあり、これは Google Project Zeroが過去にセキュリティ上の関心を示したサードパーティ製画像処理ソフトウェアである。脅威は8月13日に開示され、Android 13、14、15、16に影響する。
Black DuckのNivedita Murthyは、SamsungとWhatsApp両社がこの問題に対処するパッチをリリースしたと確認した。この脆弱性には重要な深刻度評価が与えられている。
GalaxyのロールアウトはPixelやiPhoneと異なり、機種、地域、通信事業者ごとに行われる。一方、GoogleはAndroid Authorityを通じて月例セキュリティアップデートへの新しいアプローチを発表した。改訂された月例サイクルは重要な修正のみに限定され、軽微な修正は四半期ごとに展開される。
From: 
Samsung Issues Emergency Update For Most Galaxy Users
【編集部解説】
今回のSamsungによる緊急セキュリティアップデートは、モバイルセキュリティの脆弱性がいかに現実的な脅威となっているかを物語る事例です。CVE-2025-21043という脆弱性は、単なる理論上の問題ではなく、実際に攻撃者によって悪用されている「ゼロデイ脆弱性」として分類されています。
この脆弱性の技術的な側面を説明すると、問題の核心は「libimagecodec.quram.so」という画像処理ライブラリにあります。このライブラリは、スマートフォンが画像ファイルを処理する際に使用される重要なコンポーネントで、メモリの境界外書き込みという脆弱性を抱えていました。攻撃者は悪意のある画像ファイルを送信することで、標的のデバイス上で任意のコードを実行できる状況が生まれていたのです。
特に注目すべきは、この脆弱性がWhatsAppとMetaのセキュリティチームによって8月13日に発見・報告されたという点です。WhatsAppは世界で30億人のユーザーを持つメッセージングアプリであり、攻撃対象となる範囲が極めて広範囲に及びます。
さらに深刻なのは、この攻撃が単独で行われるものではなく、他の脆弱性と「チェーン攻撃」として組み合わされる点です。8月に報告されたWhatsAppの脆弱性CVE-2025-55177とAppleのImageIOフレームワークの脆弱性CVE-2025-43300が連鎖的に悪用され、ユーザーが何もしなくても(ゼロクリック攻撃)デバイスが侵害される仕組みが構築されていました。
この事案が示すより深刻な問題は、モバイルプラットフォームにおけるセキュリティアップデートの配信体制の違いです。AppleのiOSでは全世界のiPhoneに同時にアップデートを配信できるのに対し、AndroidエコシステムではSamsungのような端末メーカーが独自のカスタマイゼーションを行うため、機種・地域・通信事業者ごとに段階的な配信となります。
さらに興味深いのは、Googleが発表した新しいセキュリティアップデート戦略です。従来の月次アップデートから、critical レベルの脅威のみを月次で配信し、軽微な修正は四半期ごとにまとめて配信するという方針転換を行いました。これにより、critical レベルの脅威により迅速に対応できる体制が整備されることになります。
長期的な視点で見ると、この事案はモバイルセキュリティの進化における重要な転換点を示しています。攻撃者がモバイルデバイスを主要な攻撃対象として位置づけていることが明確になり、端末メーカーには従来以上に迅速で効率的なセキュリティ対応が求められるようになりました。
ユーザーの観点からは、セキュリティアップデートの重要性がこれまで以上に高まっていることを認識する必要があります。特にメッセージングアプリを通じた攻撃という新たな脅威モデルに対して、個人レベルでの対策意識の向上が不可欠となっています。
【用語解説】
ゼロデイ脆弱性
発見されてから修正パッチが提供されるまでの期間がゼロ日である脆弱性のこと。攻撃者が脆弱性を先に発見し、開発者が対策を講じる前に悪用される状況を指す。
CVE(Common Vulnerabilities and Exposures)
情報セキュリティの脆弱性に対して付与される共通の識別番号システム。CVE-2025-21043のように年号と連番で管理され、世界共通の脆弱性データベースとして機能する。
境界外書き込み(Out-of-bounds Write)
プログラムが意図されたメモリ領域を超えてデータを書き込んでしまう脆弱性。攻撃者がこれを悪用することで、システムの制御を奪ったり任意のコードを実行したりできる。
libimagecodec.quram.so
Samsung端末で使用されている画像処理ライブラリの一種。Quramsoft社が開発したクローズドソースの画像解析ライブラリで、さまざまな画像フォーマットへの対応を実装している。今回の脆弱性の原因となった部分。
チェーン攻撃
複数の脆弱性を連鎖的に悪用する攻撃手法。単一の脆弱性では困難な攻撃目標を、複数の脆弱性を組み合わせることで実現する高度な攻撃手法。
【参考リンク】
Samsung Mobile Security(外部)
Samsungの公式セキュリティ情報サイト。Galaxy端末向けのセキュリティアップデートやファームウェア更新情報を提供。
WhatsApp Security Advisories(外部)
WhatsAppが発行するセキュリティ勧告の公式ページ。同社が発見・報告した脆弱性情報やセキュリティ関連の更新情報を掲載。
Google Project Zero(外部)
Googleのセキュリティ研究チームによる脆弱性発見・報告プロジェクトの公式ブログ。高度なセキュリティ研究の成果を公開。
National Vulnerability Database (NVD)(外部)
米国政府が運営する脆弱性情報データベース。CVE情報の詳細な技術仕様や影響度評価を提供している。
【参考記事】
Samsung Fixes Critical Zero-Day CVE-2025-21043(外部)
CVE-2025-21043の技術的詳細と影響範囲について詳しく解説。Samsungが8月13日に脆弱性の報告を受けたことを確認。
Samsung Patches Zero-Day Exploited Against Android Users(外部)
WhatsAppが発見した脆弱性の報告プロセスと、Samsung側の対応について詳細に記載している専門記事。
Samsung patches Android 0-day exploited in the wild(外部)
Googleの新しいセキュリティアップデート戦略について詳しく言及。月次更新から重要度ベースの配信方式への変更が与える影響を分析。
PSA: Samsung says you should update your Galaxy phone now(外部)
ユーザー向けの実用的な観点から、アップデートの重要性と手順について解説している一般向け記事。
Samsung fixed actively exploited zero-day(外部)
libimagecodec.quramライブラリの技術的詳細と、過去にGoogle Project Zeroが同様の画像処理ライブラリで発見した脆弱性との関連性について解説。
【編集部後記】
今回のSamsungの事例を受けて、みなさんはご自身のスマートフォンのセキュリティアップデートを定期的に確認していますか。私も痛感しているのですが、モバイルセキュリティの脅威は想像以上に身近で現実的な問題となっています。
WhatsAppのような日常的に使用するアプリを通じた攻撃という新たな手法を知ったとき、どのような感想を持たれたでしょうか。また、Android端末とiPhoneのアップデート配信の違いについて、これまで意識されたことはありましたか。
こうしたセキュリティ情報に触れることで、みなさんなりのモバイルセキュリティ対策について考えるきっかけになれば嬉しいです。読者の皆さんは、日頃どのようなセキュリティ対策を心がけていらっしゃいますか。もしよろしければ、SNSで教えていただけると幸いです。
