オーストリアの研究者たちは、WhatsAppの脆弱性を利用して35億人以上のユーザーの個人データを収集し、これが「史上最大のデータ漏洩」に相当すると考えています。
このメッセージングプラットフォームは、ユーザーが他人の電話番号を入力することで詳細情報を検索できる機能を提供しています。この機能は長年プラットフォームの一部でしたが、電話番号、名前、場合によっては設定されているプロフィール画像などのユーザーデータを列挙するために悪用される可能性があります。
この機能を利用して、研究者たちはGoogleのlibphonenumberの技術を使って作成したツールで生成した630億件の電話番号を入力し、1時間あたり1億件以上のアカウント情報を収集することができました。
通常、このような悪用を防ぐためにプラットフォームはレート制限を設けますが、WhatsAppは研究者たちが「ブロックや有効なレート制限に遭遇することなく」この規模での列挙を許可していました。
研究者たちは記述[PDF]の中で次のように述べています。「驚いたことに、私たちのIPアドレスもアカウントもWhatsAppによってブロックされませんでした。さらに、禁止的なレート制限も経験しませんでした。1秒間に7,000件(セッションごと)の電話番号を照会することで、WhatsAppに登録されている35億件の電話番号を確認できました(これはWhatsAppが公式に発表している『20億人以上』を上回ります)。」
彼らが列挙したアクティブアカウントの57%以上がプロフィール写真を設定しており、そのうち3分の2には検出可能な人間の顔が含まれていました。研究者たちは、これにより人物の画像から他の詳細情報が明らかになる逆電話帳を構築できる可能性があると述べています。
約29%のプロフィールには、各ユーザーの全体像をより明確にするテキストも含まれていました。
記者や研究者、その他の関係者は、データ漏洩の報道を見て、含まれているのが基本的な個人情報だけである場合、その深刻度は現実的には比較的低いと結論付けることがよくあります。なぜなら、これらの情報はすでに公開されている場合が多いからです。
しかし、プロフィールに含まれるテキストは、場合によってはユーザーの性的指向、政治的見解、薬物使用や取引、LinkedInやTinderなど他のプラットフォームへのリンク、職業用メールアドレスなど、追加の機微な情報を明らかにする可能性があります。
後者に関しては、研究者たちは列挙した電話番号を政府や軍関係者にも紐付けることができました。
さらに、いくつかの国ではWhatsAppが禁止されています。中国、ミャンマー、北朝鮮が代表的な例であり、イランやセネガルなど他の国々も過去に禁止措置を取った後、解除したことがあります。
しかし、これらの国で登録された電話番号に関連付けられたアクティブなWhatsAppアカウントが数百万件存在しており、この事実はWhatsAppの責任者Will Cathcartの以前の認めた発言と一致しています。
中国のような国々は、WhatsAppや他のプラットフォームの禁止を回避した人々を処罰することで知られています。その結果として、拘束や再教育キャンプへの送致が報告されています。
それほど重大ではありませんが、サイバー犯罪者や悪意のある人物による悪用の可能性も依然として重要です。
研究者たちは次のように述べています。「登録された電話番号の大規模なデータベースは、攻撃者によって悪用される可能性があります。登録番号は通常、アクティブなデバイスを示すため、これらのリストはスパム、フィッシング、またはロボコール攻撃の信頼できる基盤となります。」
また、こうした情報がどれだけ長期間有効であり続けるのか、そして悪用される可能性があるのかという疑問も提起しています。
2021年の大規模なFacebookデータスクレイピングで、5億3,300万人分のプロフィールの電話番号、所在地、メールアドレス、誕生日、婚姻状況が収集された際のデータをもとに、研究チームはWhatsAppから収集した35億件の記録のうち半数の電話番号が依然としてアクティブであることを突き止めました。
The Registerは、研究者がバグ報奨金プログラムを通じて悪用の可能性を開示した後、Metaが追加の保護策を実施したかどうかなど、さらなる情報を求めて問い合わせました。
テック大手は、研究者の報告後に追加のセキュリティ対策の有効性や存在については言及しませんでしたが、すでにアンチスクレイピングシステムに取り組んでいると述べました。
WhatsAppのエンジニアリング担当副社長Nitin Gupta氏は次のように述べています。「バグ報奨金プログラムのもと、ウィーン大学の研究者たちの責任ある協力と尽力に感謝します。この協力により、私たちの想定した制限を超える新しい列挙手法が特定され、研究者たちは基本的な公開情報をスクレイピングできました。
「私たちはすでに業界最先端のアンチスクレイピングシステムに取り組んでおり、この研究は新しい防御策の即時有効性をストレステストし確認する上で重要な役割を果たしました。重要なのは、研究者たちが調査の一環として収集したデータを安全に削除し、この経路を悪用した悪意のある行為者の証拠は見つかっていないことです。
「念のためお伝えすると、WhatsAppのデフォルトのエンドツーエンド暗号化のおかげでユーザーメッセージは引き続きプライベートかつ安全であり、研究者がアクセスできた非公開データはありませんでした。」
また、論文の共著者でありSBA Researchの研究者でもあるウィーン大学の博士課程候補生Gabriel Gegenhuber氏にも話を聞き、Metaの対応が彼らの手法を防ぐ上で有効だったことを確認しました。
彼は次のように語りました。「私たちは、Meta/WhatsAppの是正措置と再テストのプロセスに知見を提供しました。
「そのプロセスの一環として、元の研究とまったく同じ手順を試しましたが、すぐにブロックされました。したがって、現在は対策が講じられていることを確認できます。
「もちろん、これはWhatsAppインフラ全体の詳細なセキュリティ監査ではありませんでした。
「セキュリティの分野では通常、セキュリティやプライバシーの問題が存在することを証明する方が、その不在を証明するよりも簡単です。」
また、論文で示された開示のタイムラインや、研究プロセス中に多数のチケットを提出したにもかかわらず、Metaが意味のある対応をするまでにほぼ1年かかったことにも言及しました。
Metaは、論文のプレプリントを提供し公開の意向を通知した後、調査結果について議論するためのカンファレンスコールを要請し、チームメンバーに公開の延期を依頼しました。
「しかし、問題の重大さに気づいた途端、彼らは真剣に受け止め、迅速に対応しました」とGegenhuber氏は述べています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/19/whatsapp_enumeration_flaw/
