Unit 42の研究者は、Samsung Galaxy S22、S23、S24、Z Fold4、Z Flip4に向けて設計されたマルウェア「LANDFALL」を発見した。
CVE-2025-21042はSamsungのAndroid画像処理ライブラリのゼロデイ脆弱性で、2025年4月まで未修正だった。攻撃者はDNG画像ファイルをWhatsApp経由で配信し、マルウェアを拡散した。
LANDFALLはHTTPSを介してC2サーバーと通信し、監視や情報収集機能を持つ。イラク、イラン、トルコ、モロッコで感染事例が確認されている。Palo Alto Networksは関連脅威をCL-UNK-1054として追跡している。最初のサンプルは2024年7月に発見され、Samsungは2025年4月と9月に修正パッチを公開した。
From: 
New “LANDFALL” Android Malware Uses Samsung 0-Day …
【編集部解説】
LANDFALLの事案は、Samsung Galaxy端末に特化した高度な監視型スパイウェア攻撃が現実に発生したことを強く示しています。攻撃者は、Samsungの画像処理ライブラリ「libimagecodec.quram.so」に潜むゼロデイ脆弱性(CVE-2025-21042)を利用し、DNG形式などの不正画像ファイルをWhatsApp経由で標的に送信することで端末を侵害していました。
この手口の特徴は、ユーザーが画像を受信するだけで感染が成立する「ゼロクリック攻撃」である点です。日常的な画像のやり取りが、深刻なセキュリティリスクになっています。特にイラク、イラン、トルコ、モロッコを中心に被害が確認されていますが、今後も世界中で模倣や再発が懸念される状況です。
LANDFALLは端末内部で高度な権限昇格や持続化、会話・位置情報・ファイル・連絡先の取得、HTTPS通信による外部送信を可能にしています。WhatsAppやMeta自体には新たな脆弱性はなく、配信経路として採用された形です。端末メーカーにとっては画像処理ライブラリのサプライチェーン管理やゼロデイ監視の強化が課題となります。
画像ファイルそのものが新たな攻撃対象となったこの事案は、情報社会におけるスマートフォンリテラシーやパッチ適用の重要性を再認識させる出来事でした。
【用語解説】
ゼロデイ脆弱性
公開前で修正パッチが存在しない状態のセキュリティホールのこと。
スパイウェア
端末内の情報を秘密裏に収集・送信する悪質なソフトウェア。
C2サーバー
攻撃者が遠隔操作や情報収集に利用する外部指令サーバー。
SELinux
linux系OSのアクセス制御・権限管理セキュリティ機能。
DNG(Digital Negative)
本来は写真用RAW画像フォーマットだが、今回の攻撃で悪用された。
【参考リンク】
Samsung公式サイト(外部)
Samsung端末の製品情報、サポート、セキュリティ関連ニュースなど最新発表をチェックできる。
Palo Alto Networks(Unit 42)(外部)
脅威分析やサイバー攻撃トレンド、脆弱性レポートの公式情報が掲載されている。
WhatsApp公式サイト(外部)
メッセージアプリWhatsAppのニュースやセキュリティガイド、アナウンスメントが閲覧できる。
【参考記事】
LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targets Samsung Galaxy(外部)
Samsung端末を狙ったLANDFALLスパイウェアの攻撃手法や感染経路などが詳細に解説されている。
Samsung Mobile Flaw Exploited as Zero-Day to Deploy LANDFALL Android Spyware(外部)
CVE-2025-21042脆弱性とLANDFALL拡散、WhatsApp経由の攻撃手段や修正状況がまとめられている。
【編集部後記】
毎日のやりとりで送受信している画像、その裏側にどんなリスクや新しい攻撃の可能性があるか、考えたことはありますか?スマートフォンやアプリの脆弱性は日々進化し、私たちの想像を超える手口も現実になっています。
こうした最新動向について、皆さんのご意見や疑問もぜひ聞かせてもらえたら嬉しいです。皆さん自身は、普段どのように画像やファイルのやりとりの安全対策をしていますか?今後も一緒に考えていきましょう。
