メッセージング大手のWhatsAppは、180カ国以上で約30億人のユーザーを抱えています。研究者たちは、ソフトウェアの欠陥により、約35億件の登録済みWhatsAppアカウントを特定できたと述べています。この大きな数字が可能なのは、WhatsAppのAPIが、アクティブユーザーだけでなく、非アクティブ、再利用、または放棄された電話番号に登録されたすべてのアカウントを返すためです。
WhatsAppユーザーにメッセージを送る場合、まずその人がサービスにアカウントを持っていることを確認する必要があります。WhatsAppは、アプリが人の電話番号をアプリケーションプログラミングインターフェース(API)に送信することで、それを可能にしています。APIは各番号がWhatsAppに登録されているかを確認し、基本的な公開情報を返します。
WhatsAppのAPIは、どんなプログラムの問い合わせにも、その電話番号にWhatsAppアカウントが登録されているかどうかを教えてくれます。これはユーザーを識別する方法だからです。しかし、これは一度に少数のリクエストだけを処理することを想定しています。
理論上、WhatsAppは短時間にできるこれらの検索回数を制限し、悪用を防ぐべきです。実際には、ウィーン大学とSBA Researchの研究者たちは、その「意図された制限」が簡単に突破できることを発見しました。
彼らは245カ国で有効な形式に合致する数十億件の電話番号を生成し、それらをWhatsAppのサーバーに送信しました。連絡先発見APIは非常に速く応答し、1時間あたり1億件以上の番号を照会し、35億件以上のアクティブアカウントを確認できました。
チームは単一の送信元IPアドレスから毎秒約7,000件のリクエストを送りました。そのトラフィック量はまともなIT管理者なら警戒するはずですが、WhatsAppはIPやテストアカウントをブロックせず、研究者たちは有効なレート制限を一切経験しなかったと述べています:
「驚いたことに、私たちのIPアドレスもアカウントもWhatsAppによってブロックされませんでした。さらに、抑制的なレート制限も経験しませんでした。」
WhatsAppでのデータ祭り
漏洩したデータはアクティブな電話番号の特定だけにとどまりません。研究者たちは、他の公開されているWhatsAppエンドポイントと照合することで、以下の情報も収集できました:
- プロフィール写真(公開されているもの)
- 「自己紹介」テキスト
- アカウントに紐づくメタデータ
サンプルによると、プロフィール写真はユーザーの大部分、特に米国地域の約3分の2で取得可能でした。これは、現代のAIツールと組み合わせると明らかなプライバシー懸念を引き起こします。研究者たちは警告しています:
「悪意ある者の手に渡れば、このデータは顔認識ベースの検索サービス、いわば“逆電話帳”の構築に使われる可能性があります。個人とその関連電話番号、利用可能なメタデータが顔で検索できてしまうのです。」
「自己紹介」テキストは、デフォルトでは「Hey there! I’m using WhatsApp(こんにちは!私はWhatsAppを使っています)」ですが、意図以上の情報が明かされることもあります。中には政治的見解、性的指向やアイデンティティ、宗教的所属など、GDPR上で高度に機微とされる情報を記載するユーザーもいます。また、OnlyFansのアカウントや、軍などの機密組織の業務用メールアドレスを投稿している人もいます。これは本来、連絡先向けの情報であり、インターネット全体に公開するものではありません。
- イランではクリスマスイブの禁止解除前に約6,000万件、解除後は6,700万件
- 中国で230万件
- ミャンマーで160万件
- 北朝鮮でもわずか5件
これは、Metaがデータをうっかり提供してしまったのが初めてではありません。2021年には、5億3,300万件のFacebookアカウントが、Facebook自身の連絡先インポート機能からスクレイピングされ、公開リークされました。
今回の新たなプロジェクトは、こうしたリークの影響がいかに長く続くかを示しています。ウィーン大学とSBA Researchの研究者たちは、Facebookのスクレイプで漏洩した電話番号の58%が今年もなおアクティブなWhatsAppアカウントであることを突き止めました。パスワードと違い、電話番号はめったに変わらないため、スクレイプされたデータセットは攻撃者にとって長期間有用です。
研究者たちは、数十億人のユーザーを抱えるWhatsAppは、今や公共の通信インフラのように機能しているが、規制された通信ネットワークやオープンなインターネット標準の透明性には遠く及ばないと主張しています。彼らはこう記しています。
「現在の立場ゆえに、WhatsAppは公共の通信インフラやインターネット標準(例:メール)に類する責任を引き継いでいます。しかし、公開されたRFCによって管理され、協調的な標準化で維持されるコアインターネットプロトコルとは対照的に、このプラットフォームは第三者による精査を促進するための同等の透明性や検証性を提供していません。」
ではMetaはどうしたのでしょうか?研究者たちが4月にMetaのバグ報奨金プログラムを通じて問題を報告した後、先月からより厳格なレート制限の実装を開始しました。
SBA Researchへの声明で、WhatsApp副社長のNitin Gupta氏は、同社が「業界最先端のアンチスクレイピングシステムにすでに取り組んでいる」と述べました。また、スクレイプされたデータはすでに他でも公開されているものであり、メッセージ内容はエンドツーエンド暗号化により安全に保たれていると付け加えました。
今回のデータセットが研究者の手に渡ったのは幸運でしたが、明らかな疑問は、もしそうでなかったらどうなっていたのか?あるいは、本当に彼らが最初に気づいたのか?という点です。論文自体もその懸念を強調し、警告しています:
「私たちがこのデータを妨げられることなく取得できたという事実は、他の誰かがすでに同じことをしていた可能性を示唆しています。」
抑圧的な体制下で暮らす人々にとって、こうしたデータが悪用されれば本当に危険となり得ます。そしてWhatsAppは「この手法を悪用した悪意ある者の証拠はない」としていますが、証拠がないことは悪用がなかった証明にはなりません。特に、スクレイピング活動は事後に検出するのが非常に難しいことで知られています。
自分の身を守るにはどうすればいい?
もしすでに誰かにデータをスクレイピングされてしまった場合、元に戻すことはできません。しかし、今後見える情報を減らすことはできます:
- WhatsAppの「自己紹介」欄や、他のSNSプロフィールに機微な情報を書かないようにしましょう。
- プロフィール写真や「自己紹介」情報の公開範囲を「連絡先のみ」に設定しましょう。
- 電話番号は長期的な識別子として機能することを前提に、公開情報を最小限に抑えましょう。
