知らないうちにスマホが乗っ取られる SMSが危険な理由とは

商用スパイウェアによるメッセージングアプリへの不正アクセスが急増している。iOSの脆弱性を突く「ゼロクリック型」などの脅威が深刻だ。

[Eric Geller，Cybersecurity Dive]

　スマートフォン（スマホ）は個人情報の塊だ。スマホでやりとりされるさまざまなメッセージは犯罪者にとって非常に魅力的だという。

iPhoneを危険にさらすゼロクリック攻撃

　ゼロクリック攻撃の恐ろしさを明らかにしたのは、2026年1月にセキュリティ研究者ジョセフ・ゴディッシュ氏がGitHubで公開した調査だ。攻撃者が特定のメッセージを被害者のiPhoneに送るだけで、iPhone内部で自動的にバックグラウンド処理が進む。つまり、ユーザーが何かの操作を実行しなくてもスマホが乗っ取られてしまう。Appleが推奨する対応は「iOS 18.6.2」以降にアップデートして、メッセージアプリの「WhatsApp」を最新バージョンに更新するというものだ。（キーマンズネット編集部）

　SMSに対する攻撃はどれほど広がっているのだろうか。

知らないうちにスマホが乗っ取られる　SMSが危険な理由とは

　このような動きを受けて、米国のサイバーセキュリティの司令塔とも言うべき公的組織が動いた。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年11月24日（現地時間、以下同）に、悪意のあるサイバー攻撃者が商用スパイウェアプログラムを使ってメッセージングアプリを標的にしていると警告した。

　CISAは警告文の中で「複数の攻撃者が高度な標的化手法とソーシャルエンジニアリング技術を用いてスパイウェアを送り込み、被害者のメッセージングアプリに不正アクセスしている」と述べた（注1）。いったん攻撃が通ると、追加のマルウェアを展開したり、標的のスマートフォンにさらに深くアクセスしたりできるようになるという。

　被害者のスマートフォンを攻撃者のコンピュータと連携させるQRコードを送信する手口や、標的端末に気付かれないまま感染させるゼロクリック型マルウェア（注2）、「Signal」や「WhatsApp」といった人気メッセージングサービスのアップグレードを装った不正アプリなど（注3）、攻撃者は複数の手法を利用する。

　CISAによると、攻撃者は政府高官や軍の指導者、市民活動団体の幹部を主な標的としており、米国や欧州、中東で攻撃が確認されたとする公的な報道をCISAが引用した。

　ダークWebだけではなく、スパイウェアを販売する営利企業もある。これらのスパイウェアは端末を乗っ取るマルウェアを使って広く利用されているメッセージングアプリに侵入できる能力を持つ。特に権威主義的な体制を敷く国の政府の間で存在感を増してきた。西側諸国の政府やテクノロジー企業は、制裁や訴訟を通じてこれらのツールの拡散を抑えようと試みている（注4、注5）。

SMSは価値の高い標的なのか

　メッセージングアプリで送られる内容は価値の高い情報を多数含んでいる。国家主体の攻撃者などの高度な攻撃者集団が狙う理由がこれだ。「Signal」のような暗号化メッセージングアプリは、機密性の高い環境で利用されていることから（注6）、とりわけ激しい攻撃にさらされているようだ。

　最近のニュース報道や脅威調査を取りまとめたCISAの警告は（注7、注8）、メッセージングアプリを標的とした高度な攻撃が広がっている状況に同機関が一段と強い懸念を抱いていることを示している。

　人権団体をはじめとする市民活動団体はセキュリティ資源が乏しいため、こうした攻撃に対して特に脆弱（ぜいじゃく）だ。

　CISAは組織に対して同機関のモバイル通信セキュリティに関するガイダンスや（注9）、市民活動団体向けのセキュリティ勧告を参照するよう助言した（注10）。また、中国政府による諜報活動「Salt Typhoon」への対策の一環として作成された前者のガイドラインを最近更新し（注11）、対象をより幅広く想定するとともに推奨される対策内容を拡充したとしている。

出典：CISA urges mobile security as it warns of sophisticated spyware attacks（Cybersecurity Dive）
注1：Spyware Allows Cyber Threat Actors to Target Users of Messaging Applications（CISA）
注2：LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices（Unit42）
注3：Android spyware campaigns impersonate Signal and ToTok messengers（Bleeping Computer）
注4：Treasury Sanctions Enablers of the Intellexa Commercial Spyware Consortium（U.S. Department of the Treasury）
注5：WhatsApp Secures Ban on NSO Group After 6-Year Legal Battle（Dark Reading）
注6：The Trump Administration Accidentally Texted Me Its War Plans（The Atlantic）
注7：ClayRat campaign uses Telegram and phishing sites to distribute Android spyware（Security Affairs）
注8：Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger（Google Cloud Blog）
注9：Mobile Communications Best Practice Guidance（CISA）
注10：Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society（CISA）
注11：Salt Typhoon telecom hacks one of the most consequential campaigns against US ever, expert says（Cybersecurity Dive）

原文へのリンク