暗号化されたメッセージングアプリは、その秘匿性の高さから世界中で数多くのユーザーに利用されています。しかし、近年、WhatsAppとSignalという主要なプラットフォームにおいて、ユーザーのプライバシーを根底から揺るがす二つの深刻な脆弱性が明らかになりました。一つは、ユーザーの行動パターンを密かに追跡する新たな技術であり、もう一つは、APIの盲点を利用して数億人規模のユーザーデータを収集する手法です。これらの脅威は、メッセージの内容そのものではなく、メタデータやバックグラウンドでの挙動を悪用するという、攻撃者戦略の新たな潮流を示しています。
これらの脆弱性は、世界中の30億台以上のデバイス、そして35億を超えるアカウントに影響を及ぼす可能性があり、その規模は前例を見ないほど広範です。サイバーセキュリティコミュニティ全体がこの問題に警鐘を鳴らしており、個人ユーザーから企業組織に至るまで、リスク評価の見直しが急務となっています。本記事では、これらの脅威がどのように機能し、どのような情報が危険に晒されているのか、そしてユーザーが今すぐ講じるべき対策について、詳細に掘り下げていきます。
「サイレント・ウィスパー」が暴く行動パターン
最初の脅威は、「Silent Whisper」と呼ばれる研究成果を基盤とし、開発者「gommzystudio」が公開した概念実証ツールによって具体化されました。この手法は、暗号化されたメッセージングアプリの配信確認(delivery receipts)が、非常に低いプロトコルレベルで自動的に応答するという特性を悪用します。攻撃者は、このプロトコルレベルの弱点を利用し、任意の電話番号に対して高頻度のプローブを送信することが可能です。驚くべきことに、これらのプローブは被害者のインターフェースには一切表示されず、完全にステルスな状態で実行されます。
プローブに対する応答時間の微妙な差異は、デバイスの現在の状態に関する詳細な情報を提供します。例えば、ネットワーク接続の種類、画面のアクティビティ、デバイスの動き、さらには一般的なデバイスの挙動などが、応答時間によって推測されます。これにより、攻撃者はユーザーがいつ起きているか、眠っているか、移動中か、またはオフラインであるかといった、日々のルーティンや行動パターンを詳細にプロファイリングすることが可能となります。この技術は、メッセージの内容を傍受するのではなく、ユーザーの生活様式そのものを監視するという、新たな次元のプライバシー侵害をもたらします。
この追跡技術は、WhatsAppとSignalの両方で機能することが確認されていますが、Signalはより多くの制限を適用していると報じられています。しかし、完全に影響を免れているわけではありません。セキュリティチームによる分析では、高頻度のプローブがデバイスのバッテリー消費を著しく加速させることが判明しています。制御された実験では、一部の電話が1時間あたり14%以上のバッテリーを消費し、データ使用量にも大幅なスパイクが見られたと報告されています。これは、データプランに制限のあるユーザーにとって予期せぬコストやサービス品質の低下を招く可能性があります。
さらに、タイミングパターンからデバイスがWi-Fi接続かモバイルデータ接続か、さらには地域的なネットワーク特性まで示唆される可能性があり、おおよその位置情報の手がかりにもなり得ます。これらの活動が被害者に一切通知されないため、フォレンジックツールなしには検出が極めて困難です。公開リポジトリにおけるフォークやスターの数は、研究者だけでなく、悪意あるアクターからの関心も高まっていることを示唆しており、この脅威が今後さらに拡大する可能性を浮き彫りにしています。
35億アカウントを炙り出したAPIの盲点
もう一つの深刻な脆弱性は、WhatsAppの連絡先発見API(Contact Discovery API)に存在していました。マルウェア対策企業Malwarebytesの報道によると、ウィーン大学とセキュリティラボSBA Researchの研究者たちは、このAPIの設計上の盲点を悪用し、35億を超えるWhatsApp登録アカウントに関するデータを収集することに成功しました。WhatsAppのAPIは、電話番号がサービスに登録されているかどうかを確認するために設計されており、通常は少数のリクエストを処理することを想定しています。しかし、研究者たちはこれらの「意図された制限」が容易に回避できることを発見しました。
研究チームは、245カ国で有効な形式の電話番号を数十億件生成し、WhatsAppのサーバーに送信しました。その結果、1時間あたり1億件以上の番号を照会し、35億件以上の登録アカウントを確認できたと報告されています。驚くべきは、研究チームが単一のIPアドレスから毎秒約7,000件ものクエリを送信したにもかかわらず、WhatsAppはIPアドレスやテストアカウントをブロックせず、効果的なレート制限も経験しなかったという事実です。この大規模なデータ収集は、WhatsAppが公衆通信インフラとしての責任を十分に果たしていないという批判に繋がっています。
このAPIの脆弱性によって露呈したのは、単なるアカウントの存在確認に留まりません。研究者たちは、公開されている他のWhatsAppエンドポイントと照合することで、プロフィール写真(公開設定のもの)、「自己紹介」テキスト、およびアカウントに紐付けられたメタデータも収集できることを明らかにしました。特に、プロフィール写真は多くのユーザーで利用可能であり、サンプル調査では約3分の2が米国地域のユーザーのものでした。これは、現代のAIツールと組み合わせることで、顔認識に基づくルックアップサービス、実質的な「逆電話帳」を構築できるという、重大なプライバシー懸念を引き起こします。
さらに、「自己紹介」テキストも意図せず多くの情報を漏洩させる可能性があります。デフォルトの「こんにちは!WhatsAppを使っています」というメッセージから変更しているユーザーの中には、政治的見解、性的指向、宗教的所属、あるいは軍隊のような機密性の高い組織の勤務先メールアドレスなど、GDPRの下で極めて機密性の高いと見なされる詳細を記載しているケースも確認されました。これらの情報は本来、連絡先にのみ公開されるべきものであり、インターネット全体に公開されるべきではありません。研究者たちは倫理規定により個々の人物を調査することはできませんでしたが、高レベルの分析を通じて、サービスが禁止されている国々(イラン、中国、ミャンマー、北朝鮮)で数百万のアカウントが活動しているという驚くべき事実も発見しています。
過去の教訓とプラットフォームの責任
今回のWhatsAppのデータスクレイピング問題は、Meta社が過去に経験したデータ漏洩事件と類似する側面を持っています。2021年には、Facebookの連絡先インポート機能から5億3300万件のFacebookアカウントが公開され、大規模なデータ漏洩が発生しました。ウィーン大学とSBA Researchの研究者たちは、このFacebookの漏洩で流出した電話番号の58%が、今年になっても依然としてWhatsAppの有効なアカウントとして登録されていることを発見しました。パスワードとは異なり、電話番号はめったに変更されないため、一度スクレイピングされたデータセットは攻撃者にとって長期にわたって有用であり続けるという現実を浮き彫りにしています。
研究者たちは、数十億人のユーザーを抱えるWhatsAppが、もはや公衆通信インフラとしての役割を担っているにもかかわらず、規制された通信ネットワークやオープンなインターネット標準のような透明性を欠いていると指摘しています。彼らは、WhatsAppがコアインターネットプロトコルとは異なり、第三者による検証を容易にするような公開されたRFCや共同標準による維持管理が行われていない現状に警鐘を鳴らしています。このような状況は、プラットフォームがその巨大な影響力に見合った責任を果たすべきであるという議論を提起しています。
WhatsAppは、研究者たちが4月にMetaのバグバウンティプログラムを通じて問題を報告した後、「先月」(Malwarebytesの記事が公開された11月25日から逆算すると10月)からより厳格なレート制限の実装を開始したと述べています。WhatsAppのVPであるNitin Gupta氏は、同社が「業界をリードするアンチスクレイピングシステムに既に取り組んでいる」とコメントしました。また、スクレイピングされたデータはすでに他の場所で公開されているものであり、メッセージの内容はエンドツーエンド暗号化によって安全に保たれているとも付け加えています。しかし、研究者たちは、このデータが研究者の手に渡ったことは幸運だったが、もし悪意あるアクターの手に渡っていたらどうなっていたか、あるいは研究者たちが最初に気づいたわけではない可能性も指摘しており、懸念は残ります。
利用者が今すぐ講じるべき自己防衛策
これらの脆弱性に対して、WhatsAppとSignalのユーザーは、自身のプライバシー保護のためにいくつかの対策を講じることができます。まず、WhatsAppでは、「プライバシー」設定内の「詳細」にある「不明なアカウントからのメッセージをブロック」を有効にすることで、見知らぬ番号からのプローブ送信を制限できる可能性があります。Signalユーザーは、配信確認と入力インジケーターをオフにすることで、メタデータの放出を減らすことができます。これらの設定は、行動追跡のリスクを軽減する上で有効です。
さらに、両プラットフォームに共通する対策として、オンラインステータス、最終閲覧時刻、既読通知などの公開設定を制限することが推奨されます。これらの情報は、攻撃者がユーザーの活動パターンを推測する手がかりとなるため、可能な限り「連絡先のみ」または「誰にも表示しない」に設定すべきです。Malwarebytesは、WhatsAppの「自己紹介」セクションに機密情報を記載することを避け、プロフィール写真や自己紹介情報を連絡先のみに公開するよう助言しています。電話番号は長期的な識別子として機能するため、それに紐付けられる公開情報は最小限に留めるべきです。
これらの対策は、すでに流出してしまったデータを元に戻すことはできませんが、今後、新たな情報が収集されるリスクを軽減し、プライバシー侵害の可能性を最小限に抑える上で重要です。サイバーセキュリティの脅威は常に進化しており、ユーザー自身が積極的に設定を見直し、自己防衛意識を高めることが、デジタル世界での安全を確保するための不可欠な要素となります。Skyriver ITのような専門企業は、このような新たな脅威から組織を守るためのプロアクティブなセキュリティ監視、インフラ強化、専門的なガイダンスを提供しており、個人ユーザーも自身のデジタルフットプリントを管理するツールを活用するなど、多角的なアプローチが求められています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -New Tracking Technique Exposes WhatsApp and Signal Users to Stealth Monitoring - https://skyriverit.com/blog/new-tracking-technique-exposes-whatsapp-and-signal-users-to-stealth-monitoring
- -WhatsApp closes loophole that let researchers collect data on 3.5B accounts | Malwarebytes - https://www.malwarebytes.com/blog/news/2025/11/whatsapp-closes-loophole-that-let-researchers-collect-data-on-3-5b-accounts