WhatsAppは、意図的なスパイ作戦で悪用されたiOSおよびMacアプリケーションの深刻なセキュリティ脆弱性を修正したことを確認しました。
WhatsAppからの発表によると、このエラーにより、ハッカーは200人未満の犠牲者がいるターゲットユーザーグループのデバイスに秘密裏に侵入できます。
脆弱性はCVE-2025-55177と名付けられ、完全に修正されました。それ以前に、アップルは同じキャンペーンで並行して悪用された関連する脆弱性(CVE-2025-43300)も修正しました。
Meta(WhatsAppの親会社)は、これを非常に洗練された攻撃であると説明しており、特定の個人のみを対象としています。
国際赦免機構(ロンドン、英国)のセキュリティ研究所所長であるドンチャ・オ・セアーリール氏によると、スパイ作戦は5月末から約90日間続き、高度なスパイソフトウェアと「クリック不要」(zero-click)技術を使用しています。
これは、ユーザーがリンクをクリックしたり、悪意のあるファイルをダウンロードしたりすることなくデバイスが感染する可能性があることを意味します。WhatsAppを通じて、攻撃者はiPhoneからデータ、メッセージやその他の多くの機密情報を盗む可能性があります。
WhatsAppは、影響を受けたユーザーに直接警告を送信したと述べ、キャンペーンの起源を明らかにすることを拒否しました。
Metaの広報担当者であるマルガリータ・フランクリン氏は、犠牲者数が200人未満であることを確認し、パッチが数週間前にリリースされたと述べました。
WhatsAppがスパイ活動の標的になったのはこれが初めてではありません。2019年には、NSO Group(イスラエル)のPegasusソフトウェアがWhatsApp経由で1 400台以上のデバイスに侵入し、同社は訴訟を追求しなければならず、米国の裁判所から1億6700万ドルの賠償を宣告されました。
最近では、今年の初めに、このプラットフォームは、イタリアのジャーナリストや市民社会代表を含む約90人を標的とした別のスパイ作戦も阻止しました。
セキュリティ専門家は、ユーザーは深刻な脆弱性を介して悪用されるリスクを軽減するために、アプリケーションとオペレーティングシステムを定期的に更新する必要があると勧告しています。
最新の事件は、WhatsAppのような人気のあるメッセージングプラットフォームが、依然として意図的なサイバースパイ作戦の潜在的な「入り口」であることを改めて示しています。
