SamsungがAndroidデバイスに影響する重要な脆弱性CVE-2025-21043を修正した。
この脆弱性はAndroid OS バージョン13、14、15、16に影響し、libimagecodec.quram.soというライブラリのアウトオブバウンズ書き込み脆弱性により、リモート攻撃者が悪意のあるコードを実行可能になる。
MetaとWhatsAppのセキュリティチームが8月13日にSamsungに報告し、Samsungは9月のセキュリティアップデートで修正を発表した。Metaは8月にWhatsApp上の脆弱性CVE-2025-55177とApple OSレベルの脆弱性CVE-2025-43300が連鎖して特定標的ユーザーに対する洗練された攻撃で悪用された可能性があると警告していた。
AppleはCVE-2025-43300を8月20日に修正している。アムネスティ・インターナショナルのセキュリティラボ責任者Donncha Ó Cearbhaillは8月29日、WhatsAppユーザーを標的とするゼロクリックエクスプロイトがiPhoneとAndroidユーザー両方に影響していると警告した。
From: 
Samsung patches Android 0-day exploited in the wild
【編集部解説】
今回のSamsung脆弱性は、私たちが日常的に行う「画像を見る」という何気ない行為が、いかに深刻なセキュリティリスクと隣り合わせにあるかを浮き彫りにしています。CVE-2025-21043は、Samsung独自の画像処理ライブラリ「libimagecodec.quram.so」に潜む欠陥で、悪意のある画像ファイルを開くだけで攻撃者がデバイスを乗っ取ることができるものです。
特に注目すべきは、この攻撃が単独で行われるものではなく、他の脆弱性と「チェーン攻撃」として組み合わされる点です。8月に報告されたWhatsAppの脆弱性CVE-2025-55177とAppleのImageIOフレームワークの脆弱性CVE-2025-43300が連鎖的に悪用され、ユーザーが何もしなくても(ゼロクリック攻撃)デバイスが侵害される仕組みが構築されていました。
この攻撃手法の恐ろしさは、攻撃対象が「特定の標的ユーザー」に絞られている点にあります。アムネスティ・インターナショナルの調査によると、ジャーナリストや人権活動家といった市民社会の重要人物が狙われており、高度な商用スパイウェアが使用されている可能性が高いとされています。
技術的な観点から見ると、アウトオブバウンズ書き込み脆弱性は、プログラムが本来アクセスすべきでないメモリ領域に書き込みを行うことで発生します。攻撃者はこの欠陥を利用して、システムの重要な機能を制御する権限を不正に取得し、任意のコードを実行できるようになります。
今回の件で特筆すべきは、WhatsAppのセキュリティチームがSamsungに脆弱性を報告したという事実です。これは、プラットフォーム間でのセキュリティ協力がいかに重要かを示しています。一つのアプリケーションの脆弱性が、他のベンダーのハードウェアやOSレベルの問題と組み合わされることで、より深刻な脅威となる現代のサイバーセキュリティ環境を象徴する事例といえるでしょう。
規制面では、このような高度な攻撃に対する国際的な対応の必要性が浮き彫りになっています。Meta(WhatsApp)はNSO Groupに対して1億6700万ドル超の損害賠償を勝ち取っており、商用スパイウェア業界への法的圧力が高まっていることも重要な背景として理解しておく必要があります。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
セキュリティ脆弱性を特定・管理するための国際的な識別システム。各脆弱性に固有の番号が割り当てられ、CVE-2025-21043のような形式で表記される。
アウトオブバウンズ書き込み
プログラムが許可されたメモリ領域外にデータを書き込む脆弱性。攻撃者がこれを悪用すると、システムの制御を奪取し任意のコードを実行できる。
ゼロクリック攻撃
ユーザーが何もクリックしたり操作したりしなくても実行される攻撃手法。悪意のあるファイルを受信するだけで感染が成立する。
チェーン攻撃
複数の脆弱性を組み合わせて実行される高度な攻撃手法。単独では影響が限定的な脆弱性でも、組み合わせることで深刻な被害をもたらす。
NSO Group
イスラエルの商用スパイウェア開発会社。政府機関向けにPegasusなどの高度な監視ツールを販売している。Meta(WhatsApp)との法廷闘争で敗訴し、1億6700万ドル超の損害賠償を命じられた。
【参考リンク】
Samsung Mobile Security(外部)
Samsungの公式セキュリティサイト。最大7年間のセキュリティサポートを提供
Samsung Knox(外部)
Samsung独自の多層防御セキュリティプラットフォーム。軍事規格の保護を提供
NVD(National Vulnerability Database)(外部)
米国政府運営の脆弱性情報公式データベース。CVSS評価スコア等を提供
CVE公式サイト(外部)
セキュリティ脆弱性の識別・定義システム。29万3000件超のCVE記録を公開
【参考記事】
Samsung Fixes Critical Zero-Day CVE-2025-21043(外部)
CVSS評価スコア8.8の高危険度脆弱性について技術的詳細を解説
Samsung fixed actively exploited zero-day(外部)
WhatsAppによる8月13日報告から修正までの経緯とApple攻撃との関連を分析
Samsung patches actively exploited zero-day(外部)
WhatsAppセキュリティチームによる発見・報告と実際の攻撃悪用を詳報
Samsung Zero-Day Exploit Hits Galaxy Devices(外部)
Galaxy向け緊急セキュリティアップデートと具体的なユーザー対策を解説
NSO Group must pay more than $167 million(外部)
Meta対NSO Groupの法廷闘争勝訴と商用スパイウェア業界への法的圧力
【編集部後記】
今回のSamsungの脆弱性修正は、私たち一人ひとりが日常使っているスマートフォンが、実は高度なサイバー攻撃の標的となっている現実を映し出しています。特に興味深いのは、この攻撃が単純な愉快犯ではなく、特定の個人を狙った極めて洗練されたものだったという点です。
皆さんは普段、画像を受信したりメッセージアプリを使ったりする際に、セキュリティリスクを意識されることはありますか?今回の事例では、何気なく画像を見るだけで攻撃が成立してしまう可能性があったのです。また、一つの脆弱性が他のプラットフォームの問題と組み合わされることで、より深刻な脅威になるという現代のサイバーセキュリティ環境についても、ぜひ一緒に考えてみませんか。
