【緊急警告】今すぐアップデートを！CISAが警告する連鎖攻撃 - WhatsApp×Apple連鎖攻撃が現実に

昨日（9月2日）、米当局が
WhatsAppとApple製品に存在する脆弱性を悪用した
連鎖攻撃について注意喚起を発表しました。

「1つの脆弱性」が突破されると、
他のアプリやシステムに一気に広がる
"連鎖型"攻撃のリスクが、
ついに現実のものとなりました。

1. 何が起きているのか？

実際に確認された攻撃手法
米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が
「悪用が確認された脆弱性カタログ」に追加した2つの脆弱性：
WhatsApp（CVE-2025-55177）: リンクされたデバイス間の同期メッセージで認証不備
Apple製品（CVE-2025-43300）: iOS/macOSのImageIOフレームワークに存在する書き込み範囲外エラー

攻撃の流れ：
WhatsAppの脆弱性を突いて任意のURLを処理させる
悪意あるコンテンツがApple製品の脆弱性を連鎖的に悪用
ゼロクリック攻撃で利用者が気づかないまま端末を侵害
約200名が標的とされ、市民社会活動家やジャーナリストが主なターゲットでした。

2. なぜ危険なのか？

圧倒的な普及率が裏目に

WhatsApp: 世界で30億人以上が利用する最大規模のメッセージングアプリ
Apple製品の企業導入率:
日本企業の社用iPhone導入率：57.1%
グローバル企業のMac導入率：91%
グローバル企業のiPhone/iPad導入率：99%
企業ネットワーク全体への波及リスク

業務用端末が侵害されると：
VPN経由で社内システムへ不正アクセス
機密データの大量流出
ランサムウェア攻撃の起点となる可能性
取引先への二次被害拡大

最も危険なポイント：
攻撃は完全に「見えない」形で実行されるため、
発見が大幅に遅れる可能性があります。

3. 今すぐできる対策（サイバーレジリエンス視点）

【緊急対応】即時実施項目

 最新アップデートの即時適用
WhatsApp iOS版：v2.25.21.73以降
WhatsApp Mac版：v2.25.21.78以降
iOS/iPadOS：18.6.2以降
macOS：各バージョンの最新パッチ適用

業務利用端末の緊急点検
異常な通信ログの確認
不審なアプリケーション動作の監視
VPNアクセスログの精査

【中長期対策】ゼロトラスト体制の構築

「信頼しない」前提のアクセス制御
端末認証 + ユーザー認証の多要素化
アプリケーション単位での接続許可制御
リアルタイム行動分析による異常検知

 BYOD運用の見直し
私用端末での業務システムアクセス制限
MDM（モバイルデバイス管理）の導入検討
業務データの端末保存禁止ルール策定

社員教育の強化
連鎖攻撃の仕組みと危険性の周知
不審なメッセージ受信時の報告体制整備
インシデント発生時の初動対応訓練

4. 今回の攻撃から学ぶべき教訓

従来の「境界防御」の限界
今回の攻撃は、信頼されたアプリケーション（WhatsApp）を入り口として、
信頼されたOS（iOS/macOS）の脆弱性を連鎖的に悪用しました。

これは、「ファイアウォールで外部を遮断すれば安全」
という従来の考え方が、もはや通用しないことを示しています。

「攻撃者目線」での対策設計が必須
攻撃者は「最も使われているツール」を狙う
「最も信頼されているアプリ」こそが攻撃の入り口になる
「1つの突破口」から「全システム侵害」への連鎖を前提とした防御設計が重要

5. 具体的なチェックリスト

【今日中に実施】
□ 全社員への緊急アップデート指示の配信
□ IT部門による業務端末のバージョン確認
□ 社内ネットワークの異常通信監視強化

【今週中に実施】
□ BYOD利用状況の全社調査
□ 社用端末のMDM導入検討開始
□ インシデント対応マニュアルの見直し

【今月中に実施】
□ ゼロトラストアーキテクチャの導入検討
□ 全社員向けセキュリティ教育の実施
□ ペネトレーションテストの実施検討

サイバー攻撃は
「一度突破されれば連鎖的に広がる」時代に入りました。

今回のWhatsApp×Apple連鎖攻撃は、
私たちが最も信頼するツールこそが
最大のリスクになり得ることを示した重要な警告です。

この最新ニュースを"自社のサイバーレジリエンス強化を見直すきっかけ"
にしていただき、攻撃者の一歩先を行く防御体制を整備していただければ幸いです。

※こちらは、執筆時点2025年9月3日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性があります。

【参考情報】

米CISA 悪用が確認された脆弱性カタログ
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
WhatsApp セキュリティアップデート情報
https://www.whatsapp.com/security/
Apple セキュリティアップデート
https://support.apple.com/ja-jp/100100

※今号はAIで執筆した文章を筆者が監修しています。

******************************
サイバーレジリエンス株式会社　
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
******************************

投稿者プロフィール

サイバーレジリエンス

最新の投稿

• 情報2025年9月30日ランサムウェア・DDoS被害は依然"高止まり"
• 情報2025年9月19日【速報】政府機関 12省庁で脆弱性──「標準未達」の管理体制が明らかに
• 情報2025年9月19日鉄道会社で乗客データ流出──インフラ業界も標的に　
• 情報2025年9月4日【緊急警告】今すぐアップデートを！CISAが警告する連鎖攻撃 - WhatsApp×Apple連鎖攻撃が現実に