WhatsAppで発見されたセキュリティ脆弱性

 (univie.ac.at)
1 ポイント 投稿者 GN⁺ 2025-11-22 | 1件のコメント | WhatsAppで共有
  • オーストリア・ウィーン大学とSBA Researchの研究チームが、WhatsAppの連絡先検索メカニズムにおいて35億件のアカウントを列挙できる大規模な個人情報脆弱性を発見
  • 研究チームは1時間あたり1億件超の電話番号を照会できることを実証し、Metaは研究チームと協力して問題を修正
  • 収集可能なデータは電話番号、公開鍵、タイムスタンプ、公開設定されたプロフィール情報などで、これによりOS・アカウント年齢・接続デバイス数を推定可能
  • 分析の結果、**WhatsAppが禁止されている国(中国・イラン・ミャンマーなど)**でも数百万件のアクティブアカウントが存在し、**Android 81%・iOS 19%**というグローバル分布が確認された
  • 今回の研究は、メタデータ分析だけでも個人情報流出リスクが存在することを示し、継続的かつ独立したセキュリティ研究の重要性を強調

WhatsApp連絡先検索の脆弱性を発見

  • 研究チームは、WhatsAppの**連絡先検索(contact discovery)**機能がユーザーのアドレス帳を基に他のユーザーを見つける仕組みであることを利用し、1時間あたり1億件超の電話番号を問い合わせできることを確認
    • これにより245か国で35億件超のアクティブアカウントを識別
    • 単一ソースからこれほど多くのリクエストを処理できたことは、システム設計上の欠陥を示すものと評価されている
  • アクセス可能なデータは電話番号、公開鍵、タイムスタンプ、公開されたプロフィール写真および紹介文などで、これによりOSの種類、アカウント作成時期、接続されたデバイス数を推定可能

主な研究結果

  • **WhatsAppが公式に禁止されている国(中国、イラン、ミャンマー)**でも数百万件のアクティブアカウントが存在
  • グローバル端末比率はAndroid 81%、iOS 19%で、地域ごとの個人情報公開行動(例:プロフィール写真の公開有無、紹介文の使用など)にも差が存在
  • 一部の事例では暗号鍵の再利用が見つかり、非公式クライアントや不正利用の可能性を示唆
  • 2021年のFacebookデータ流出に含まれていた5億件の電話番号のうち約半数が、現在もWhatsAppでアクティブであることを確認
    • これは流出した番号が詐欺電話などの二次被害にさらされるリスクを依然として抱えていることを意味する

データ処理とセキュリティへの影響

  • 研究過程でメッセージ内容にはアクセスしておらず、収集したすべてのデータは公開前に削除
  • WhatsAppの**エンドツーエンド暗号化(end-to-end encryption)**はメッセージ内容を保護するが、メタデータは保護対象ではない
  • 研究チームは、メタデータの大規模な収集・分析だけでもプライバシー侵害リスクが生じ得ることを確認

Metaとの協力と対応措置

  • 研究は**責任ある開示(responsible disclosure)**の原則に従って実施され、結果は直ちにMetaへ報告
  • Metaはその後、リクエスト制限(rate-limiting)プロフィール情報へのアクセス強化などの対策を導入
  • Metaは研究チームの協力に感謝を示し、新たな列挙(enumeration)手法が既存の防御限界を超えていたことを認めた
    • 研究結果は自社のアンチスクレイピングシステムの有効性検証にも貢献
    • 悪意ある悪用事例は確認されておらず、ユーザーメッセージは安全に保護されている

研究背景と継続研究

  • 今回の論文は、ウィーン大学とSBA Researchが実施した3本目のメッセンジャーセキュリティ研究であり、WhatsAppとSignalの設計・実装上の個人情報露出可能性を分析
  • 以前の研究:
    • “Careless Whisper” (RAID 2025) : WhatsAppの**サイレント配信レシート(silent delivery receipts)**を利用してユーザーの活動パターンを推定できることを実証
    • “Prekey Pogo” (USENIX WOOT 2025) : WhatsAppのプリキー(prekey)配布メカニズムにおける実装上の弱点を分析
  • 今回の研究**“Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”**はこの研究の流れを拡張し、世界規模でのユーザー列挙可能性を実証
    • 研究結果はNDSS 2026で発表予定

研究の意義

  • 研究チームは、成熟したシステムでも設計上の欠陥を持ち得ると指摘し、セキュリティとプライバシーには継続的な再評価が必要であると強調
  • 学術界と産業界の透明な協力が、ユーザー保護と悪用防止の鍵であることを提示
  • 今回の研究は、メッセージングシステムの進化と新たなリスクポイントを長期的に理解するための基盤を提供

関連記事

1件のコメント

 
GN⁺ 2025-11-22
Hacker Newsの意見
  • なんとも絶妙なタイミングだ。こちらも最近、連絡先マッチング方式に関するRFCを公開した。この方式は列挙攻撃(enumeration attack)に強い一方で、そのぶん発見可能性(discovery)が下がる構造になっている。いまフィードバックを募っているので参考までに — Contact Import RFC
    • 私も似た問題を扱う中で Private Set Intersection を調べたことがある(Wikiリンク)。これは Zero Knowledge Proofs に関連していて、電話番号を平文で共有しないことで攻撃を根本から防げる。ただし、このアプローチはやや大げさかもしれず、現状の技術ではスケーラビリティに限界があるかもしれない
    • RFCはセキュリティには触れているが、プライバシーには言及していない。結局のところ、サーバーやインスタンスを信頼する前提の構造だ。実際の番号の代わりにハッシュを使えればよいが、そうすると番号の検証ができなくなり、なりすまし防止が難しくなる。EFFやLet’s Encryptのような 信頼できる第三者 が番号を検証し、アプリはハッシュだけを取得する方式もあり得ると思う
    • いいタイミングでこの話題を出してくれてうれしい。私のアプリでも近いうちに連絡先同期を追加する予定なので、セキュリティとプライバシーについて考えている。もしこのRFCをオープンソースで公開する計画があるのか気になる
  • 記事で引用されていた部分が興味深い。2021年のFacebookデータ流出時に露出した5億件の電話番号のうち、半分がいまでも WhatsAppでアクティブ だったという。これは流出した番号が何年にもわたって スパム電話や詐欺 にさらされ得ることを示している。電話番号の「半減期」はおよそ4〜5年ということなのだろう
    • アメリカ人が子どもの頃にもらった番号を大人になってもそのまま使っているのを見ると驚く。私は昔、毎年番号を変えていた
  • 今回の脆弱性は、特定の電話番号が WhatsAppアカウントに紐づいているか を確認できるエンドポイントに起因していた。ほぼすべての番号について問い合わせ可能だったが、そこまで大きな脆弱性には見えない
    • それでも、なぜ電話番号でアカウントの存在確認ができるようにしているのか疑問だ。メールアドレスならこうした確認は プライバシー侵害 と見なされるのに、電話番号だけ例外なのは理解しがたい
    • 最近、「WatApp」や「whtas app」のような名前で届く フィッシングSMS をよく受け取る。こうした流出によって攻撃効率が上がっているようだ。番号なしで送られてくるメッセージなのでブロックもしづらい
    • 実際、私のような人間にとってはこれは 便利な機能 だ。ネットで見つけた配管工の番号をWhatsAppに入力して、プロフィールがあればそのままメッセージを送り、なければ電話やSMSで連絡する
  • これは大規模流出というより、ユーザーが 公開プロフィール を作っている状態で番号検索が可能だったというだけだ。研究者たちはランダムな番号を照会して公開情報を収集しただけで、非公開データではない。Facebookが rate limit をかけていなかったため大規模収集が可能だったが、もともと公開情報だった。センシティブな情報を公開プロフィールに載せたのはユーザー自身の選択でもある
  • これは最も残念な出来事のひとつだ。人類は 最も人気のある個人向けメッセンジャー を手にする機会があったのに、2014年の190億ドルという金額がBrian Actonの目をくらませた。いまSignalでやっていることでは、数十億ユーザーの信頼を売り渡した代償 を取り戻すことはできない
    • EUはこの買収を阻止すべきだった。収益モデルもない会社に190億ドルの価値がつくなどあり得ず、Facebookが狙っていたのは ユーザーデータ だった。その代わりUSB-Cの強制みたいなことで満足しているのだから脱力する
  • これは単なる 電話番号の列挙(enumeration) の問題だ。コード上の欠陥ではなく明示された機能なので、「セキュリティ脆弱性」と呼ぶのは少し微妙だ
    • ただし、rate limitingがまったくない センシティブなエンドポイントは欠陥と見なせる
    • たとえ単一の番号でもアカウントの存在確認ができるなら、それは プライバシー侵害 だ。もしそのサービスが不適切またはセンシティブなサイトなら、番号だけで加入有無が分かるのは深刻な問題だ。こうした情報を自動化して プロファイリング までできる点が危険だ
    • 毎秒1億件レベルのリクエストが可能だったというのなら、それは本当に あり得ない水準
  • 今朝、突然 WhatsAppからログアウト されていることに気づいた。再ログインしようとしたが認証SMSが届かず、幸い「電話で受け取る」で復旧コードは受け取れた。ただ、2FA PIN を設定していなかったため復旧が止まり、メール復旧も設定していなかった。いまは7日間の待機中だ。番号はいまでも自分のものなのにアカウントを復旧できないのはおかしい。すべてのユーザーに 2FAと復旧メールの設定 を強く勧める
    • 逆に、電話番号だけでアカウント復旧ができるなら セキュリティ上のリスク でもある。番号が再割り当てされた場合、新しい利用者が前の利用者の会話や連絡先を引き継げてしまうからだ
  • これは2020年に発表された WhatsApp、Telegram、Signalの連絡先検索に関する論文 と似ている(リンク)。結局、電話番号全体の集合を列挙できないように防ぐ手段は サーバー側のrate limit しかない。各メッセンジャーの制限が十分なのか気になる
  • 以前、こうした研究に参加したことがある。国別の携帯電話接頭辞一覧 が非常に役立った。ただ、参照されていた libphonegen のリンクは見つけられなかった
  • 本質は メッセージングサービスの中央集権化リスク だ。実際、中央集権化はどの分野でも問題だが、それでもユーザーは 利便性と統合性 を求める。これを分散システムで実現するのは本当に難しい
    • 初期にメールのようなオープンな形で始まっていたらどうなっていただろうと思う。90年代に「メールアドレスは何?」の代わりに「公開鍵は何?」と尋ねていたなら、今ごろ デジタル・ユートピア に住んでいたのかもしれない
    • SimpleX Chatセキュリティと分散化 をかなりうまく組み合わせた例に見える
    • 正直、技術力という点では政府より Metaのほうを信頼 してしまう。政府のデジタルプロジェクトは失敗率が高く、FAANGを批判するとしても、彼らより良い結果を出すのは難しい
    • さっきHNのトップに上がっていた Matrixスレッド を読んだが、同じ文脈の議論だった