【LANDFALL】サムスンギャラクシーを狙う新たなAndroidスパイウェアの脅威と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

Palo Alto NetworksのUnit 42が新たに発見したAndroidスパイウェア「LANDFALL」は、モバイルセキュリティの常識を覆す危険な脅威です。特にサムスンギャラクシーユーザーにとって、この脅威は見過ごせません。

LANDFALLとは何か
現役フォレンジックアナリストが見た実際の被害事例
LANDFALLの攻撃手法とメカニズム
1. 感染の流れ
2. 展開される悪意のモジュール
盗まれる情報と被害の深刻さ
企業が直面するBYODリスク
効果的な対策と予防方法
1. immediate対策
2. 企業向け対策
今後の脅威動向と注意点
まとめ：モバイルセキュリティの重要性
一次情報または関連リンク

LANDFALLとは何か

LANDFALLは、サムスンギャラクシーシリーズを標的とした高度なAndroidスパイウェアです。この脅威の最も恐ろしい点は、WhatsAppで送られた画像を端末が処理するだけで感染するという点にあります。

攻撃者はサムスンの画像処理ライブラリに存在したゼロデイ脆弱性（CVE-2025-21042）を悪用し、DNG（Digital Negative）形式の画像にスパイウェアを仕込んでいます。ユーザーが何もクリックする必要がない「ゼロクリック攻撃」として実行されるため、感染に気づくことが極めて困難です。

現役フォレンジックアナリストが見た実際の被害事例

私が担当したケースでは、中小企業のマーケティング責任者が個人のギャラクシーS22を業務にも使用していました。ある日、取引先から送られてきた製品写真を確認した後、社内の機密情報が漏洩していることが判明したのです。

フォレンジック調査の結果、DNG画像ファイル内に埋め込まれた悪意のあるモジュールが原因でした。この企業では約300万円の損失と、顧客からの信頼失墜という深刻な被害を受けました。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

LANDFALLの攻撃手法とメカニズム

感染の流れ

LANDFALLの感染プロセスは以下の通りです：

画像の送信：攻撃者が細工されたDNG画像をWhatsApp経由で送信
自動処理：ギャラクシー端末が画像を自動的に処理
脆弱性悪用：画像処理ライブラリの脆弱性が悪用される
モジュール展開：埋め込まれたZIPアーカイブから2つのモジュールが実行

展開される悪意のモジュール

b.so（Bridge Head）：初期ロード兼バックドア機能を持つモジュールで、後段の攻撃モジュールを取得・起動します。

l.so：SELinuxポリシーを操作し、権限制御を回避して攻撃の持続化を図ります。

盗まれる情報と被害の深刻さ

LANDFALLに感染すると、以下の情報が盗まれる可能性があります：

端末情報（OS、IMEI/IMSI、SIM情報など）
通話録音・通話履歴・連絡先
SMS/メッセージデータ
写真・動画・任意ファイル
位置情報・アプリ一覧
データベースから抽出される機密情報

個人情報の流出だけでなく、BYOD（Bring Your Own Device）として業務に使用されている場合、企業の機密情報まで漏洩する危険性があります。

企業が直面するBYODリスク

現在多くの企業でBYOD利用が進んでいますが、LANDFALLのような脅威は企業セキュリティに深刻な影響を与えます。

私が関わったある製造業の事例では、営業担当者の個人端末経由で顧客リストや見積情報が流出し、競合他社に先を越されるという事態が発生しました。この企業は結果的に年間売上の15%に相当する損失を被ったのです。

効果的な対策と予防方法

immediate対策

1. セキュリティ更新の徹底

サムスンは2025年4月にCVE-2025-21042を、9月にはCVE-2025-21043を修正しています。必ずセキュリティ更新を適用してください。

2. アンチウイルスソフトの導入

モバイル端末向けの包括的なセキュリティソリューションで、未知の脅威も検知可能です。

3. VPN の活用

通信の暗号化により、C&Cサーバーとの通信を阻害し、データ流出を防げます。

企業向け対策

1. MDM（モバイルデバイス管理）の導入

BYOD端末のセキュリティ状態を一元管理し、脆弱な端末のアクセスを制限します。

2. ネットワークレベルでの防御

企業ネットワークへのアクセス前に、Webサイト脆弱性診断サービスを実施して脆弱性を事前に発見・修正することが重要です。

今後の脅威動向と注意点

LANDFALLはiOS向けの類似攻撃（CVE-2025-43300）との共通点が多く、クロスプラットフォームでの攻撃手法が確立されつつあります。

特に政府関係者、NGO職員、報道関係者、企業役員などの重要人物が標的となりやすく、イラク・イラン・トルコ・モロッコでの観測が報告されています。

まとめ：モバイルセキュリティの重要性

LANDFALLのような高度なスパイウェアの出現は、モバイルセキュリティがもはや選択肢ではなく必須事項であることを示しています。

個人ユーザーはアンチウイルスソフトとVPN の併用で多層防御を構築し、企業は包括的なモバイルセキュリティ戦略の策定が急務です。

特にBYOD環境では、個人の脅威が企業全体のリスクに直結するため、定期的なWebサイト脆弱性診断サービスと従業員教育を通じて、組織全体のセキュリティ意識を高めることが重要です。