何もクリックしなくても感染する「ゼロクリック攻撃」、ユーザー操作不要の脅威

背景

従来のサイバー攻撃は、ユーザーに「リンクをクリックさせる」「添付ファイルを開かせる」といった能動的な操作を誘発することで感染させるのが一般的でした。しかし、近年ではユーザーが何も操作しなくても、デバイスにメッセージを受信するだけ、あるいはWebページを表示するだけでマルウェアに感染する「ゼロクリック攻撃」が高度な標的型攻撃で使用されています。この手法は、ユーザーの警戒心やセキュリティ教育を完全に無効化するため、防御側にとって極めて脅威度が高い攻撃です。主にスマートフォン（iOS/Android）のメッセージアプリや、OSの画像処理ライブラリの脆弱性が狙われることが多く、国家支援型ハッカーグループによるスパイ活動や、ジャーナリスト・人権活動家を標的とした攻撃で確認されていますが、一般企業への波及も懸念されています。

実態

ゼロクリック攻撃の代表例として知られるのが、イスラエルのNSO Groupが開発したスパイウェア「Pegasus」です。この攻撃では、iPhoneのiMessageに特製のメッセージを送信するだけで、ユーザーがメッセージを開封しなくても、通知を受信した瞬間にデバイスが感染します。これは、iOSの画像処理コンポーネントやPDFレンダリングエンジンの脆弱性を突き、メモリ破壊を引き起こして任意のコードを実行させる仕組みです。攻撃者は感染したデバイスを遠隔操作し、通話の盗聴、位置情報の追跡、カメラ・マイクの起動、写真やメッセージの窃取などを行います。Android端末においても、WhatsAppのビデオ通話着信を受けるだけで感染する脆弱性や、Wi-Fiチップセットの脆弱性を悪用して近くにいるだけで感染させる攻撃手法が実証されています。ゼロクリック攻撃は痕跡を残さないよう設計されていることが多く、ユーザーは感染した事実にすら気づかないまま、長期間にわたって監視され続けます。

影響と対策

ゼロクリック攻撃の最大の問題は、ユーザー教育による「怪しいリンクを開かない」という対策が通用しない点です。対策としては、OSとアプリケーションの脆弱性をなくすことが唯一かつ最大の防御策となります。iOSやAndroid、および使用しているアプリのアップデート通知が来たら、即座に適用する体制が必要です。企業としては、MDM（Mobile Device Management）を活用して従業員の端末OSバージョンを管理し、古いOSのままの端末は社内ネットワークへの接続を拒否する運用が求められます。また、FortiClientやCheck Point Harmony Mobileなどのモバイルセキュリティソリューションを導入することで、既知の攻撃パターンや異常な通信挙動を検知できる可能性があります。さらに、攻撃対象となりやすい役員や重要人物の端末については、定期的な再起動（一部のメモリ常駐型マルウェアを無効化できる）や、ロックダウンモード（iOSの高度な保護機能）の使用を推奨することも有効です。

まとめ

「何もしていないのに感染する」というゼロクリック攻撃は、サイバーセキュリティの究極の脅威です。ユーザーの注意深さに頼る防御は限界を迎えており、システムレベルでの迅速なパッチ適用と、多層的なモバイルセキュリティ対策が不可欠です。PSI社では、MDMとモバイル脅威対策（MTD）を組み合わせた包括的なモバイルセキュリティソリューションにより、ゼロクリック攻撃を含む高度なモバイル脅威から企業の重要端末を守るご支援をいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp