2025年現在、多くの人々がノートパソコンやスマートフォンを手放せない存在としている。その親しみと引き換えに、迷惑メールやSMS、WhatsAppメッセージなどに不用意にクリックすることの危険性への警戒心も高まっている。

しかし、「ゼロクリック攻撃」と呼ばれる新たな脅威が広がりつつある。これは以前はコストや高度な技術を要するため、主にVIPや非常に裕福な人々だけが標的にされていた。

ゼロクリック攻撃とは、ユーザーが何もクリックしなくてもデバイスをハッキングするサイバー攻撃だ。メッセージ、通話、ファイルを受信するだけで発生する可能性がある。攻撃者はアプリやシステムの隠れた脆弱性を利用し、ユーザーの操作なしにデバイスを乗っ取ることができ、そしてユーザーは攻撃に気づくことすらない。

「最近になって一般の認知度は高まっているが、これらの攻撃は何年もかけて着実に進化してきた。スマートフォンや接続されたデバイスの普及に伴い、その頻度も増している」と、英国のサイバーセキュリティ教育プラットフォームであるStationXの最高経営責任者（CEO）、ネイサン・ハウス氏はエポックタイムズに語った。

「主な脆弱性はデバイスの種類ではなくソフトウェアにあるため、脆弱性を突くことができるあらゆる接続機器が標的になる可能性がある」

情報セキュリティ研究者であるCybernewsのアラス・ナザロヴァス氏は、ゼロクリック攻撃が通常一般人ではなくVIPを狙う理由について、エポックタイムズに次のように語った。

「ゼロクリック型の脆弱性を見つけるのは困難で費用もかかるため、こうした手法はたいていの場合、権威主義的な体制下にいる政治家やジャーナリストなど、重要人物の情報にアクセスするために使われる」と彼は述べた。

「これらはしばしば標的型のキャンペーンで使用され、金銭を盗むために使われることはまれだ」

2024年6月、BBCは、ソーシャルメディア・プラットフォームのTikTokが、CNNを含む「ごく限られた」数のアカウントが不正アクセスを受けたことを認めたと報じた。

TikTokの親会社であるバイトダンスはハッキングの詳細について明らかにしなかったが、カスペルスキーやAssured Intelligenceといったサイバーセキュリティ企業は、ゼロクリック型の脆弱性が原因である可能性を示唆した。

「このような攻撃を可能にするバグを見つけ、そのバグに対するエクスプロイトコード [1]を書くことが、高度な技術を要する部分だ」と、ナザロヴァス氏は語る。

「ゼロクリック型のエクスプロイト [2]やエクスプロイトチェーン[3] を売買する市場は、何年も前から数十億ドル規模のビジネスとなっている。グレー／ダークマーケットの一部のエクスプロイト仲介業者は、人気のあるデバイスやアプリ向けのこうしたエクスプロイトチェーンに対して、50万ドルから100万ドルの報酬を提示することもある」

ナザロヴァス氏は、一般のユーザーも過去にゼロクリック型の「ドライブバイ」攻撃の被害を受けたことがあると指摘している。

これらは悪意のあるソフトウェアで、ユーザーが気づかないうちにデバイスに意図せずインストールされることで発生する攻撃で、こうした攻撃はエクスプロイトのグレーマーケットの拡大に伴って、発生頻度が減少してきている。

ハウス氏はゼロクリック型のエクスプロイトは、発見に多大なコストがかかるソフトウェアやアプリの脆弱性を狙うことが多いため、実行犯は通常「国家主体の攻撃者や、豊富な資金を持つグループ」であると述べている。
 

スパイウェア市場の拡大

人工知能（AI）の最近の革新によって、音声クローンやビッシング（音声を使った詐欺）といった特定のサイバー犯罪が増加しているものの、ナザロヴァス氏は、ゼロクリック攻撃のリスクが高まったという証拠は今のところないと述べている。

一方、ハウス氏は「AIを使えば、これまで時間や経験、専門知識が足りなかった人でも、ゼロクリック型のエクスプロイトチェーンを書き込むことが可能になるかもしれない」と指摘する。

ただし、近年ゼロクリック攻撃が増加している主な理由は「AI技術そのものではなく、スパイウェア市場の拡大や、高度なエクスプロイトの入手が容易になったことにある」と同氏は述べている。

ハウス氏によると、ゼロクリック攻撃は10年以上前から存在しており、その中でも最も悪名高いのが「スパイウェア・ペガサス事件」だという。

2021年7月、英紙ガーディアンを含む16の報道機関は、イスラエルに拠点を置くNSOグループのスパイウェア「ペガサス」を、外国政府が少なくとも180人のジャーナリストや世界中の多数の人物を監視するために使用していたとする一連の記事を公開した。

ペガサスによる監視の標的とされたとされる人物には、フランスのエマニュエル・マクロン大統領、インドの野党指導者ラフル・ガンジー氏、そして2018年10月2日にイスタンブールで殺害されたワシントン・ポスト記者ジャマル・カショギ氏などが含まれていた。

当時の声明で、NSOグループは「NSOは以前から一貫して、当社の技術がジャマル・カショギ氏の凄惨な殺害とは一切関係ないことを明言している」と述べた。

5月6日、カリフォルニア州の連邦陪審員団はプライバシーをめぐる訴訟において、NSOグループに対し、WhatsAppの親会社であるMetaに、補償的損害賠償として44万4719ドル、懲罰的損害賠償として1億6730万ドルの支払いを命じた。

WhatsAppの訴状はスパイウェアのペガサスに焦点を当てており、訴訟によれば、このスパイウェアは「リモートでインストールされ、Android、iOS、BlackBerryの各オペレーティングシステムを使用するモバイルデバイス上の通話、メッセージ、位置情報などの情報にリモートでアクセスし、制御できるようにするために開発された」とされている。

「巻き添えの標的」

「一般のユーザーが巻き添え的に標的となることもあるが、攻撃者は通常、これらの高価なエクスプロイトを、特に価値の高い、あるいは機密性の高い情報を持つ人物に対して使用する」とナザロヴァス氏は述べている。

同氏によると、企業はハッカーに対して「バグ・バウンティ [4]」を提供し、脆弱性を発見した際にそれをブローカーに売って違法に利用する第三者に渡すのではなく、企業に報告するよう促しているという。

ハウス氏は、ゼロクリック攻撃に対抗するのは「非常に困難」だとしながらも、いくつかの基本的なサイバーセキュリティ対策によってリスクを減らすことは可能だと述べている。

「ユーザーは常にソフトウェアやオペレーティングシステムを最新の状態に保ち、定期的にデバイスを再起動し、Appleのロックダウンモードのような強化されたセキュリティモードを利用するべきだ。特に自分が高リスクの対象であると感じている場合はなおさらだ」とハウス氏は語る。

同氏はさらに、「どれだけ対策を講じたとしても、国家レベルの高度な攻撃者による極めて巧妙な攻撃は、最も堅固な防御すらすり抜ける可能性があるという事実を認識しておくことが重要だ」と述べた。

ナザロヴァス氏は、Apple、Google、Microsoftといった大手テック企業は、数十億台のデバイスから膨大なテレメトリーデータ [5]を収集しており、その情報をもとにゼロクリック型のエクスプロイトやその他の高度な攻撃を検出していると述べている。

テレメトリーデータとは、スマートフォンやコンピューターなどのデバイスから遠隔で収集される情報であり、主にアプリの使用状況や動作に関するデータが中央システムに送信され、性能の向上、問題の修正、利用状況の把握などに活用される。

「このような攻撃を可能にする脆弱性が検出されれば、すぐに修正し、自動アップデートによって数十億人のユーザーにほぼ即座に展開される」とナザロヴァス氏は語っている。

[1] エクスプロイトコード（Exploit Code）
脆弱性を突くために作られた具体的なプログラムやスクリプト

[2] エクスプロイト（Exploit ）
 ソフトウェアの脆弱性を悪用して、不正な操作や権限の取得を行う行為または手法

 [3] エクスプロイトチェーン（Exploit Chain）
 複数のエクスプロイトを組み合わせ、段階的に攻撃を進める手法。たとえば、まず権限昇格し、その後システム制御を奪うなど

 [4] バグ・バウンティ（bug bounties）
企業がソフトウェアやシステムの脆弱性を発見した外部のハッカーやセキュリティ研究者に報奨金を支払う制度