セキュリティレポート　2025/11/12

お持ちのスマートフォンは、今、許可なく「盗聴器」と化しているかもしれません。

ユーザーの操作を一切必要とせず、ただ画像を受け取っただけで、あなたの機密情報が抜き取られる――、残念ながらこのような事態がモバイルセキュリティの世界で起きています。

今回のレポートでは、その「ゼロクリック」の脅威をはじめ、AI技術の悪用動向や、CVSSスコア9点超えのクリティカルな脆弱性など、皆様のビジネスとプライベートの双方を破壊しかねない最新の危機をまとめていますので、ぜひ本文を読み状況を確認ください。

■ 今月のエグゼクティブサマリー

2025年11月公開の情報に基づくと、ゼロデイ脆弱性の活発な悪用が複数報告されており、特に注意が必要です。

これらはモバイルデバイスへのリモートからの完全な監視や、システム管理者権限の奪取の点で非常に危険性が高いです。また、AI技術の悪用やサプライチェーンを狙ったマルウェアの動向、さらには国内における行政機関での情報紛失事例などのインシデントも報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今月は、特に以下の脆弱性にご注意ください。これはゼロデイ攻撃に利用された実績があり、広範なユーザーに影響を与える可能性のあるモバイルデバイス関連の深刻な脅威です。お使いの端末が該当しないか確認し、 速やかなアップデートまたは回避策の適用 を強く推奨します。

■ Samsung製Android端末の画像処理ライブラリにおけるゼロデイ脆弱性

CVE-2025-21042 (CVSSv3.1: 8.8)

SamsungのAndroid画像処理ライブラリにおける域外メモリ書き込みの不備に起因し、リモートで任意のコード実行が可能となる恐れがあります。

この脆弱性は、修正パッチが公開される半年以上前からゼロデイ攻撃に積極的に悪用されていたことが確認されています。米CISAも既知の悪用された脆弱性（KEV）カタログにこれを追加し、対策の緊急性を呼びかけています。

影響

Samsung Galaxy S22〜S24、Fold4、Flip4などのデバイスが標的とされ、WhatsApp経由で送られる細工されたDNG画像ファイルを介して、ユーザー操作なし（ゼロクリック）で商用スパイウェア「LANDFALL」が感染します。これにより、音声録音、位置追跡、メッセージ、ファイルの窃取など、完全な監視が可能になります。

対策

Samsungは2025年4月のセキュリティアップデートで本脆弱性を修正しています。最新のファームウェアへのアップグレードを速やかに実施してください。

【その他の脅威の動向】

■ Triofoxの認証バイパス脆弱性悪用（CVSS 9.1）

ファイル共有ソリューションTriofoxのクリティカル脆弱性（CVE-2025-12480）が、脅威アクターUNC6485によって活発に悪用されています。

この脆弱性は認証をバイパスして管理者アカウントを作成し、組み込みのアンチウイルス機能を悪用してシステム権限で任意コードを実行可能にします。バージョン16.7.10368.56560以降への速やかな更新が必要です。

■ NEC CLUSTERPRO XにCVSS 9.8のクリティカル脆弱性

NECの高可用性クラスタソフトウェア「CLUSTERPRO X」のLinux版において、リモートから認証なしでシステム権限による任意のOSコマンド実行が可能となるOSコマンドインジェクションの脆弱性（CVSSv3.0: 9.8）が修正されました。

対象ユーザーは直ちに修正版へのアップデートが必要です。

■ LLMの応答パターンから会話内容が漏洩する攻撃「Whisper Leak」

Microsoftの研究者が、LLM（大規模言語モデル）の応答データがエンドツーエンドで暗号化されていても、ネットワークトラフィックのパケットサイズとタイミングパターンから会話のトピックを推測するサイドチャネル攻撃「Whisper Leak」を開発しました。

この攻撃は医療相談や法的な助言など、機密性の高い会話を盗聴されるリスクを高めます。

最後に

今月は特に、ゼロデイ脆弱性の悪用やCVSSスコアの高いクリティカルな欠陥が目立ちました。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、適切なセキュリティ対策、特に修正プログラムの速やかな適用を講じていただくようお願いいたします。