脆弱性により35億件のWhatsAppアカウントがスクレイピング可能に

オーストリア・ウィーン大学の研究チームが、35億件のWhatsAppアカウントをスクレイピング可能にした新しい列挙手法の詳細を公開しました。WhatsAppの親会社であるMetaは、この脆弱性の悪用を防ぐための対策を導入しています。

WhatsAppは、ほぼすべての主要な通信アプリと同様に、ユーザーが電話番号を基に他者とつながることを可能にしています。ユーザーがWhatsAppで電話帳の連絡先を探そうとすると、特定の電話番号に関連付けられたユーザーが登録されているかどうかを確認するために、同社のサーバーが照会されます。

ウィーン大学の研究者たちは、WhatsAppアカウントを列挙するための手法を発見し、ブロックされることなく実行できました。彼らは可能性のある電話番号の組み合わせを生成し、どの番号がメッセージングサービスに登録されているかを確認しました。 

研究者たちはレート制限に遭遇することを予想していましたが、1時間あたり1億件以上の電話番号でWhatsAppアカウントデータをスクレイピングすることができました。

「通常、システムはこれほど多くのリクエストに短時間で応答すべきではありません。特に単一の発信元からの場合はなおさらです」と、研究論文の筆頭著者であるGabriel Gegenhuber氏は述べています。「この挙動が根本的な欠陥を露呈し、我々は事実上無制限にサーバーへリクエストを発行し、世界中のユーザーデータをマッピングすることができました。」

彼らは245カ国にわたる35億件のWhatsAppユーザー全員のアカウントを列挙しました。スクレイピングされたデータにはタイムスタンプや公開鍵が含まれており、そこからアカウントの年数、使用しているオペレーティングシステム、リンクされているデバイスの数などの追加情報を推測することができました。

一部のアカウントについては、スクレイピングされたデータにプロフィール写真や「概要」欄にユーザーが追加したテキストも含まれていました。

研究者たちは取得した記録を、2021年に流出した5億件のFacebookユーザーデータと比較し、そのリークで流出した電話番号のほぼ半数が現在WhatsAppアカウントに関連付けられていることを突き止めました。

この研究は今週初め、Metaの2025年バグバウンティプログラムレポートで取り上げられました。ソーシャルメディア大手は今年、バグバウンティとして約400万ドルを支払いました。ただし、研究者が受け取った報奨金の額は公表されておらず、Metaも研究者の許可なしにその情報を開示しないとしています。 

「この協力により、我々の想定した制限を超える新しい列挙手法が特定され、研究者たちは基本的な公開情報をスクレイピングすることができました」と、WhatsAppのエンジニアリング担当副社長Nitin Gupta氏はメール声明で述べています。「当社はすでに業界最先端のアンチスクレイピングシステムの開発に取り組んでおり、この研究はこれら新しい防御策の即効性をストレステストし、確認する上で重要な役割を果たしました。」 

「重要なのは、研究者たちが本研究の一環として収集したデータを安全に削除しており、この手法を悪用した悪意ある行為者の存在は確認されていないことです」とGupta氏は付け加えました。

SecurityWeekからの問い合わせに対し、Metaはこの研究に関する追加の重要な説明を提供しました。

同社は、研究者の作業を「35億件の電話番号を暴露または取得した」と表現するのは正確ではないと指摘しています。研究者たちは可能性のある番号の組み合わせを生成し、そのうちどれがサービスに登録されているかを「WhatsAppの想定した制限を超える方法」で確認しました。

Metaはまた、メッセージ、連絡先、その他の非公開データは暴露されていないことも強調しています。プロフィール写真や「概要」情報（多くの場合「Hey, I’m using WhatsApp」やユーザーが選択した短いテキストや絵文字）は、情報を「全員」に公開することを選択したユーザーの場合のみアクセス可能でした。 

WhatsAppは、ユーザーがこの情報を連絡先のみに公開したり、誰にも公開しないように設定できるプライバシーコントロールを提供しています。 

研究者たちは、2024年後半から2025年にかけて段階的に発見をMetaに報告したと述べていますが、ベンダー側は問題を完全に理解するために必要な技術的詳細を受け取ったのは2025年8月だったとしています。同社は最初の対策を9月初旬に導入し、追加の措置を10月に実施したと述べています。