- WhatsAppの35億件のアクティブアカウントが世界規模でメタデータスクレイピングのリスクにさらされている
- 連絡先発見機能の脆弱性により、世界規模で大量の電話番号の列挙が可能となった
- 数百万件の暗号鍵が複数アカウントで再利用され、セキュリティの前提が損なわれた
WhatsAppのユーザーは、潜在的に懸念される発見を受けて、アカウント情報を守るために追加の対策を講じる必要があるかもしれません。
ウィーン大学の研究者による調査で、アプリの連絡先発見システムが、世界中のエンドポイントでレート制限が不十分だったため、かつてない規模でWhatsAppユーザーデータの大規模収集を可能にしていたことが明らかになりました。
研究者たちは、膨大な数の電話番号、公開プロフィール写真、アカウントのステータスメッセージ、ビジネスタグ、エンドツーエンド暗号化鍵に紐づく情報を収集することができました。
どのようにして大規模なデータ収集が行われたか
このデータセットには、中国、イラン、ミャンマー、北朝鮮など、WhatsAppが禁止されている国のユーザーも含まれており、暗号化ツールへのアクセスが制限され、国家による厳しい監視が行われている地域の個人を特定できる可能性もあります。
研究チームは、自動番号生成ツールを用いて、200カ国以上で600億件を超える可能性のある携帯電話番号を生成しました。
その後、各番号をWhatsAppサーバーに対してリバースエンジニアリングしたプロトコルで照合しました。
この手法は、公式アプリケーションを介さずにWhatsAppインフラに直接問い合わせるよう改造されたオープンソースクライアントに依存していました。
このプロセスでは、1秒あたり数千件の番号がブロックされることなく検証され、2012年と2021年に既に記録されていた列挙問題が繰り返されました。
収集されたデータには、タイムスタンプ、デバイス情報、公開暗号鍵、世界各地域の利用パターンをマッピングできるメタデータが含まれていました。
暗号鍵が本来ユニークであるべきにも関わらず、複数アカウント間で再利用されていたケースが数百万件に上りました。
一部の鍵は全てゼロで構成されており、これは主に公式アプリではなくサードパーティクライアントによる実装の不備を示唆しています。
Cyberinsiderに送られた声明の中で、WhatsAppのエンジニアリング担当副社長ニティン・グプタ氏は次のように述べています
「ウィーン大学の研究者たちがバグ報奨金プログラムのもと、責任ある協力と尽力をしてくれたことに感謝します。この協力により、私たちの想定した制限を超える新たな列挙手法が特定され、研究者が基本的な公開情報をスクレイピングできることが判明しました。私たちはすでに業界最先端のスクレイピング対策システムに取り組んでおり、この研究は新しい防御策の即効性をストレステストし、確認する上で非常に役立ちました。重要なのは、研究者たちが収集したデータを安全に削除し、この経路を悪用した悪意ある行為者の存在は確認されていないことです。念のため申し添えますが、ユーザーのメッセージはWhatsAppのデフォルトのエンドツーエンド暗号化によって引き続きプライベートかつ安全に保たれており、非公開データが研究者にアクセスされることはありませんでした。」
Metaはメッセージの保護は維持されたと主張しましたが、研究者側は公開鍵の再利用がエンドツーエンド暗号化の信頼モデルを弱体化させると指摘しています。
同社は2025年10月に開示を受けてレート制限を強化し、その後、Appleデバイスでの不正なメディア取得を許す別の問題にも対応しました。
WhatsAppは2025年初頭時点で推定35億件のアクティブアカウントに達し、史上最も広く使われているコミュニケーションプラットフォームの一つとなっています。
安全を守るためにできること
- 公開プロフィール欄に表示される情報を制限し、ステータスメッセージにリンクを投稿しないようにしましょう。
- 強力なパスワードを使用し、アカウント保護のために二要素認証を有効にしましょう。
- ウイルス対策ソフトを最新の状態に保ち、脅威がアカウントに影響する前に検出できるようにしましょう。
- 身元盗用対策サービスを利用し、不審な活動やデータの悪用を監視しましょう。
- 知らない連絡先をブロックし、アカウントのアクティビティを定期的に確認して異常がないかチェックしましょう。
- ファイアウォールを有効にして、不正なネットワークアクセスや疑わしい接続を防ぎましょう。
- 非公式のWhatsAppクライアントは避け、公式アプリをできるだけ早くアップデートしましょう。
