Metaは、スパイウェア攻撃を含む高度な脅威から、ジャーナリストや著名人、その他の高リスク個人を保護することを目的とした、新しいWhatsAppのロックダウン風セキュリティ機能の展開を開始しました。
「Strict Account Settings(厳格なアカウント設定)」として知られるこの新機能は、既存のエンドツーエンド暗号化を土台に、標準的なセキュリティ対策を超える強化保護を必要とするユーザー向けに、極めて厳格な安全策を追加します。
ユーザーは、設定 > プライバシー > 詳細設定の「Strict account settings(厳格なアカウント設定)」オプションをオンにすることで、これらの強化されたプライバシー/セキュリティ制御を、主端末からのみ有効化できます。
有効化すると、最も制限の厳しいプライバシー制御が適用され、2段階認証が自動的にオンになり、不明な送信者からのメディアや添付ファイルをブロックし、不明な相手からの通話をミュートし、リンクプレビューをオフにし、ユーザーの最終オンライン時刻とオンライン情報、プロフィール写真、自己紹介(About)の詳細、プロフィールリンクへのアクセスをロックし、さらにユーザーを攻撃にさらし得るその他の機能も制限します。
WhatsAppは火曜日のブログ投稿で、「私たちは、既定のエンドツーエンド暗号化を出発点として、すべての人のプライバシーの権利を常に守ります。しかし同時に、ジャーナリストや公の立場の人物など、一部のユーザーは、まれで非常に高度なサイバー攻撃に対して極端な安全策を必要とする場合があることも理解しています」と述べました。
同社は別のサポート文書で、「この機能は、そのような攻撃の標的となり得るごく少数のユーザーのために作られています。そのため、高度なサイバーキャンペーンの標的になっている可能性があると思う場合にのみオンにしてください。ほとんどの人はそのような攻撃の標的にはなりません」と付け加えました。
WhatsAppは、この機能が今後数週間にわたり段階的に展開されると述べ、さらに写真・動画・メッセージを狙うスパイウェアに対する防御を強化するため、舞台裏ではRustプログラミング言語への移行もゆっくり進めていることを明らかにしました。
Metaの発表は、WhatsAppのようなメッセージングアプリを通じて、NSO GroupのPegasusなどのスパイウェアにより、多くのジャーナリスト、活動家、政治関係者のスマートフォンが感染してきたことを受けたものです。これらの攻撃では、ユーザーの操作なしに(多くの場合は政府支援の)脅威アクターがiOSおよびAndroid端末を侵害できるゼロクリック・エクスプロイトが用いられました。
8月には、WhatsAppはゼロデイ攻撃で悪用されていた脆弱性を修正し、iOSおよびmacOS向けメッセージングクライアントにおいて、標的型のゼロクリック攻撃で悪用されていた問題に対処しました。これは、Paragon Graphiteスパイウェアで端末を感染させるために使われた別のゼロデイ欠陥に対応するセキュリティ更新をリリースしてから数か月後のことでした。
2024年11月には、裁判資料により、イスラエルの監視企業NSO Groupが、WhatsAppに提訴された後も、複数のゼロデイ・エクスプロイトを投入していたとされることも明らかになりました。さらに2025年5月には、2019年に1,400人のWhatsAppユーザーを標的にしたスパイウェア攻撃により、同社は1億6,700万ドルの罰金を科されました。
Appleは、ジャーナリスト、活動家、人権擁護者、反体制派などの高リスク個人を標的型スパイウェア攻撃から保護するため、約3年前の2022年7月に独自のロックダウンモードを展開しました。これは、iOS、iPadOS、macOS端末において「特定の機能を厳格に制限し、攻撃対象領域を大幅に縮小することで、高度に標的化された傭兵型スパイウェアに悪用され得る余地を減らす」ものです。
