2025年現在、ノートパソコンやスマートフォンは私たちの生活に欠かせない存在となっています。電子通信技術の進化に伴い、多くの人が迷惑メールやSMS、WhatsAppのメッセージには警戒し、リンクを不用意にクリックしないよう注意を払うようになっています。

しかし、今警戒すべき新たな脅威が現れています──それが「ゼロクリック（zero-click）」攻撃です。

以前は、高度な技術とコストが必要だったため、こうした攻撃の対象は政治家や著名人、資産家に限られていましたが、近年では攻撃の対象範囲が急速に拡大し、一般のユーザーも標的となる可能性が出てきました。

ゼロクリック攻撃とは、ユーザーの操作を一切必要とせず、メッセージを受け取ったり、電話に出るだけで、攻撃者がデバイスに侵入できるというものです。アプリやシステムの脆弱性を突いて端末を乗っ取り、ユーザーが気づかないうちに深刻な被害を引き起こします。

イギリスのサイバーセキュリティトレーニングプラットフォーム「StationX」のCEO、ネイサン・ハウス（Nathan House）氏は、エポックタイムズの取材に対し、「一般の人々もセキュリティ意識を高めつつありますが、この種の攻撃は長年にわたって静かに進化してきました。スマートフォンやIoT機器の普及により、こうした攻撃がますます一般化しています」と語りました。

「この攻撃はデバイスそのものではなく、ソフトウェアの脆弱性を狙います。つまり、インターネットに接続されたあらゆる機器が、脆弱性を抱えている限り攻撃の対象となるのです」と彼は警告します。

サイバーセキュリティ専門誌「Cybernews」の情報セキュリティ研究員、アラス・ナザロヴァス（Aras Nazarovas）氏もこう述べています。「ゼロクリック脆弱性を発見するのは非常に難しく、コストも高いため、通常は政治家やジャーナリストといった要人の情報を収集する目的で、独裁政権などが利用するケースが多いのです」

「多くのゼロクリック攻撃は狙いを絞ったもので、金銭的な目的で用いられることは比較的少ない」とも付け加えました。

2024年6月、英国BBCは、中国発のアプリ「TikTok（抖音）」のアメリカ版であるTikTokが、CNNなど一部の「非常に限定的な」アカウントがハッキング被害に遭ったことを認めたと報じました。

TikTokの親会社バイトダンス（ByteDance）は詳細を公表していませんが、カスペルスキー（ロシア・モスクワ）やAssured Intelligence（英国）のようなセキュリティ企業は、この攻撃がゼロクリック脆弱性に関係している可能性があると見ています。

ナザロヴァス氏は「ゼロクリック攻撃で最も困難なのは、脆弱性を発見し、それに合ったエクスプロイト（攻撃コード）を作成することです」と説明します。

「これまでにもゼロクリック向けのエクスプロイトや攻撃チェーンは、グレー／ダークウェブ市場で数十億ドル規模の取引が行われてきました。人気アプリやデバイスに対する脆弱性は、ブローカーが50万〜100万ドルで買い取ることもあります」と彼は語ります。

ナザロヴァス氏によれば、かつては一般ユーザーも「ドライブバイ型」ゼロクリック攻撃（気づかぬうちに悪意あるソフトがインストールされる）の被害に遭うことがありましたが、最近ではこの手法は減少傾向にあるとのことです。

一方、ハウス氏は「ゼロクリックのエクスプロイトプログラムは、アプリやOSに潜む極めて複雑な脆弱性を突く必要があり、その発見には非常に高額なコストがかかります。つまり、こうした攻撃の背後には国家レベルの支援や、豊富な資金を持つ組織が存在することが多いのです」と補足しました。
 

スパイウェア市場の拡大

近年、AI技術の進化により音声クローンやフィッシング詐欺といったサイバー犯罪が増加していますが、ナザロヴァス氏によれば、AIがゼロクリック攻撃のリスクを明確に高めたという証拠は、今のところ確認されていないとのことです。

一方で、ハウス氏はこう警告しています。「AIを利用すれば、本来は脆弱性を見つけたり、エクスプロイトを作成する知識や時間がない人でも、それが可能になってしまうのです」

とはいえ、ゼロクリック攻撃の増加はAIよりも、「スパイウェア市場の拡大」や「複雑化する脆弱性の増加」が主な要因であると、彼は分析しています。

ゼロクリック攻撃は2010年代から存在しており、代表的な事件としては、イスラエルのスパイウェア「ペガサス（Pegasus）」によるものが挙げられます。

2021年7月、英ガーディアン紙を含む17のメディアは、イスラエルのNSOグループが開発したペガサスが、世界中の少なくとも180人のジャーナリストや要人を監視していたと報じました。

標的には、フランスのマクロン大統領、インドの野党指導者ラフル・ガンジー氏、さらに2018年10月2日にトルコ・イスタンブールで殺害された『ワシントン・ポスト』記者のジャマル・カショギ氏も含まれていました。

これに対し、NSOグループは「ジャマル・カショギ氏の殺害事件に当社の技術は一切関与していない」との声明を出しています。

また、2025年5月6日には、WhatsAppがNSOを相手取って起こしたプライバシー侵害訴訟で、カリフォルニア州の陪審団はWhatsAppの親会社であるMetaに対し、補償的損害として44万4,719ドル、懲罰的損害として1億6,730万ドルの支払いを命じました。

この訴訟もペガサスによるスパイ活動が焦点となっており、訴状によれば、Android、iOS、BlackBerryなどのOSを搭載したデバイスに、遠隔操作でスパイウェアをインストールし、通話やメッセージ、位置情報などに不正アクセスすることが目的だったとされています。
 

一般ユーザーも「巻き添え」になる可能性

ナザロヴァス氏は、「一般の人々がゼロクリック攻撃の直接的な標的になることはあまりありませんが、攻撃の過程で『巻き添え』的に被害を受ける可能性はあります」と指摘しています。

一方、企業側では、ハッカーに「バグ報奨金（バグバウンティ）」を提供し、発見された脆弱性を中間業者ではなく直接企業に報告するよう促しています。

ハウス氏は、「ゼロクリック攻撃に完全に対抗するのは非常に難しいものの、基本的なサイバーセキュリティ対策を講じることで、リスクをある程度軽減することができます」と述べ、以下のような対策を推奨しています。

「ソフトウェアとOSのこまめなアップデートすること、デバイスを定期的に再起動すること、Appleの「ロックダウンモード」などのセキュリティ強化機能を活用すること」を高リスク対象者に推奨しています。

ただし彼は、「国家レベルの先進的な攻撃者による高度なゼロクリック攻撃は、どれほど強固な防御をもってしても完全に防ぐことは難しい」と警鐘を鳴らしています。

最後にナザロヴァス氏は、Apple、Google、Microsoftといった大手テック企業が、世界中の何十億台もの端末から「テレメトリデータ（遠隔測定情報）」を収集し、ゼロクリック攻撃やその他の高度な脅威の検出に役立てていることを紹介しました。

こうしたデータ、特にアプリの使用状況や行動パターンに関する情報は、パフォーマンスの向上、バグの修正、攻撃の追跡に活用されており、「脆弱性が発見され次第、企業は迅速に修正を行い、自動アップデートを通じて数十億人のユーザーに配布することが可能です」と強調しました。

（翻訳編集　正道勇）