レート制限の弱点が報告された際、Metaの対応は遅かったと研究者らが指摘
研究者たちは、WhatsAppのプライバシー上の欠陥を発見しました。この欠陥により、世界中でアプリを利用している35億件の携帯電話番号を特定でき、場合によってはその背後にいる人物の身元を推測できる可能性があることが判明しました。
WhatsAppの脆弱性は新しいものではありませんが、ウィーン大学とSBA Researchの合同チームによる今回の発見は、その規模の大きさから、Hey there – You are using WhatsAppで詳述されているように、世界で最も広く使われているコミュニケーションアプリにおける、これまでで最も恥ずかしい弱点の一つとなっています。
この脆弱性は、WhatsAppの連絡先発見メカニズム、つまりこのアプリや類似アプリの基盤となる仕組みにありました。WhatsAppをインストールすると、ユーザーのローカルアドレス帳にある携帯電話番号を、WhatsAppの中央データベースにある番号と照合する許可を求められます。そして、アドレス帳の中でどのユーザーがWhatsAppを利用しているかを特定します。
研究者たちは、この列挙メカニズムを悪用し、WhatsAppに関連付けられた携帯電話番号が存在するかどうかを、245カ国にわたり、1つのIPアドレスから1時間あたり1億件以上という速度で確認できる方法を発見しました。本来、レート制限によって不可能なはずのことです。
これにより、合計で35億件の携帯電話番号がプラットフォームに登録されていることが確認でき、従来の推定値である20億~30億件を大きく上回る結果となりました。
この手法では、携帯電話番号の利用者が誰であるかまでは判明しませんが、番号が有効であり、誰かがWhatsAppで使用していることは分かります。しかし、研究者たちは、エンドツーエンド暗号化(E2EE)に使われる公開(非プライベート)鍵や、タイムスタンプ、番号に紐付けられたプロフィール写真、ユーザーの概要テキストやビジネスアカウントのプロフィールなど、他のデータも発見できました。
その結果、「これらのデータポイントを分析することで、ITセキュリティ専門家は、ユーザーのデバイスのオペレーティングシステム、アカウントの年数、リンクされたセカンダリデバイス(例:WhatsApp Web)の数といったメタデータも推測できました」と研究者らは述べています。
攻撃者がこのような情報をどのように利用する可能性があるでしょうか?「特定の(携帯)電話番号がメッセージングアプリに紐付いているかどうかを知ることは非常に機微な情報です。特に、その番号が特定の個人と結びついている場合はなおさらです。特定のメッセージングアプリが禁止されている地域(例えば中国やミャンマー)では、この情報が深刻な結果をもたらす可能性があります。」
さらに、携帯電話番号が現在利用中であることを確認できれば、スパムやフィッシング、ロボコールの標的になる恐れもあります。研究者たちは、2021年のFacebookハッキングで流出した5億3,000万件の電話番号のうち、58%が現在もWhatsAppで利用されていることも発見しました。
エンドツーエンド暗号化によるプライバシーを謳うアプリとしては意外なことに、研究者たちはごく少数の「公開鍵の衝突」を検出しました。これは、一部のユーザーが会話を保護するために使っている公開・秘密鍵ペアが、極端に弱い(全てゼロ)か、デバイス固有でないことを意味します。どの公開鍵プラットフォームでも、ランダムにごくわずかな割合でこうした事象が発生しますが、通常のアカウント生成を回避する形で、詐欺師によってアカウントが作成されている可能性も高いと考えられます。
対応の遅れ
これらの発見は消費者だけでなく、企業にも懸念をもたらします。WhatsAppは企業内でも広く利用されており、非公式な利用だけでなく、クラウドAPIを通じてカスタマーサポートやビジネスアカウントによる営業連絡、さらにはeコマース認証にも使われています。
ここで懸念されるのは、列挙攻撃によって電話番号と実際のユーザーが紐付けられる可能性です。研究によれば、これは簡単な作業ではありませんが、誰を探しているか分かっている十分なリソースを持つ攻撃者であれば、実行可能だと示唆されています。
研究者によると、今回の発見は、WhatsAppのE2EE設計がメッセージ内容を保護している一方で、メタデータには同じことが言えないことを改めて示しています。
「成熟し、広く信頼されているシステムであっても、設計や実装に現実的な影響を及ぼす欠陥が含まれている可能性があります。セキュリティとプライバシーは一度達成すれば終わりではなく、技術の進化とともに継続的に見直す必要があります」と、筆頭著者のGabriel Gegenhuber氏はコメントしています。
SBA ResearchはMetaからの声明を公開しており、「バグ報奨金プログラムのもと、責任ある協力と尽力に感謝します。この協力により、意図した制限を超える新しい列挙手法が特定され、研究者が基本的な公開情報を取得できることが判明しました」と述べられています。
Metaは現在、「レート制限やプロフィール情報の可視性ルールの強化などの対策を実施した」とSBA Researchは確認しています。
しかし、Metaの声明は興味深いものです。というのも、研究論文では、研究チームがWhatsAppのレート制限の弱点を2024年9月に報告した後、Metaが1年間ほとんど問題を認めなかったなど、対応の遅さについて詳しく言及されているからです。
これが一度きりの見落としでないなら、ユーザーは懸念すべきです。Metaのようなリソースを持つテック企業は、セキュリティやプライバシーの問題が報告された際、直ちに対応すべきです。今回の場合、同社はその理想からは程遠かったようです。
奇しくも今週、Metaは、過去1年間で自社プラットフォームの脆弱性を報告した研究者に対し、400万ドルのバグ報奨金を支払ったと発表しました。
WhatsAppのユーザーの携帯電話番号が漏洩したのは、これが初めてではありません。約5億件のWhatsApp携帯電話番号のデータベースが、2022年にダークウェブ上で販売されているのが発見されています。
また、WhatsAppが米国下院の職員端末からセキュリティ上の懸念で利用禁止になった直後、Windows版WhatsAppデスクトップアプリにもセキュリティ脆弱性が発生しました。
