WhatsApp は何年にもわたって 35 億人のユーザー数を (故意に) 暴露してきた

WhatsApp を日常的に使用している人なら誰でも (実質的には誰でも)、その連絡先検索システムの便利さをよく知っています。アドレス帳に電話番号を追加するだけで、いつものようにすぐに、そのユーザーがサービスに登録されているかどうかだけでなく、プロフィール画像や関連するテキストもアプリに表示されます。シンプルで即時の解決策ですが、多くの場合当然のことと考えられています。この非常に使いやすいことが、研究者がこれまでに記録した中で最大の電話番号の暴露と呼ぶものへの扉を開いたのは残念です。

実際、ウィーン大学の学者らの報告によると、数か月前までは、単なるスパムよりもはるかに重大な目的を持った組織的ハッカーや悪意のある行為者のグループを含む誰もが、WhatsApp Web を通じて数十億の電話番号をスキャンし、どの電話番号がプラットフォームに登録されているかを自動的に確認することができました。それだけでなく、関係する 35 億人のユーザーのうち半数以上はプロフィール写真にもアクセスでき、ほぼ 3 分の 1 はステータステキストも利用できました。

WhatsAppの欠陥は何年も前から知られていたが、最近まで無視されていた

最も驚き、懸念すべき点は、脆弱性の存在というよりも、この脆弱性が十分な注目を集めずに 2017 年に別の研究者によって報告されたという事実です。使用されているテクニックは、その単純さの点で武装解除されています。ユーザーが手動で連絡先を追加するのと同じように、可能なすべての番号を次々に試してみますが、その規模は無限大です。

Google フォトエディターには明確なテーマがあります

OnePlus 15は最初に拷問され、その後ビデオで分解されました

オーストリアの学者らは、WhatsApp Web が長年にわたって警告を受けてきたにもかかわらず、一定の時間間隔内に実行できる連絡先発見リクエストの数に制限を適用していなかったという事実を利用して、1 時間あたり約 1 億件の番号を検証することに成功しました。明らかなように、この詳細により手順が自動化され、非常に効果的になりました。

2025 年 4 月に再度通知されたメタは、ついにシステムを導入しました レート制限 これにより、同じ作戦が大規模に繰り返される可能性が事実上阻止される。このようなケースではよくあることだが、同社は、流出したデータは一般に公開されている基本情報であり、アカウント設定でプロフィールを非公開にしたユーザーにはプロフィールの内容は表示されていなかったと主張することで、問題の深刻さを軽視する傾向がある。

しかし、研究者自身は、防御機構がなかったからといって、防御機構を回避する必要はなかったと指摘している。そして、もし研究の一環として収集されたデータが即座に削除されたのが本当なら、過去数年に誰が痕跡を残さずに同じ方法論を悪用できたのかという大きな疑問が残る。

主なリスクは、明らかに、フィッシング活動、スパム、または標的型攻撃に実質的に完璧なデータベースを提供してしまうことですが、さらに不穏なシナリオが浮上しています。研究者らは、中国やミャンマーなど、WhatsApp が禁止されている国でも、WhatsApp に何百万もの番号が登録されているのを発見しました。このような状況では、ユーザーの完全なリストを取得すれば、理論的には政府が無許可の通信サービスを使用するユーザーを特定し、訴追できる可能性があります。

「最近使った場所」が Google マップ上のすべてのユーザーに展開されます

Google マップには、Gemini による機能を含む 4 つの便利な新機能が追加されました

同様に懸念すべきことは、アカウントに関連付けられた暗号キーを分析することによって、学者らが数千件の重複を特定したという事実である。これらの重複は、エンドツーエンドの暗号化システムを誤って実装する、詐欺師がよく使用する非公式の WhatsApp クライアントに起因すると考えられる。

この話からは、専門家によってしばしば強調されるように、他の多くのプラットフォームにも関係する要素が浮かび上がってきます。電話番号は秘密の識別子として機能するように設計されておらず、十分に複雑ではなく、十分なランダム性を提供しておらず、そして何よりもユーザーが簡単に組み合わせることができません。この状況により、追加のより効果的な保護システムの必要性が避けられなくなります。

WhatsApp がしばらくの間、この種のリスクを少なくとも部分的に軽減できるユーザー名ベースのシステムをテストしているのは偶然ではありません。ただし、いつ皆様にご利用いただけるようになるかは不明ですので、もう少しお待ちいただくことになります。

いつものように、良いニュースは、エンドツーエンドの暗号化のおかげでメッセージが保護されたままであるということですが、悪いニュースは、公開プロファイルがあまりにも頻繁に軽く設定されているため、どこを見るべきかを知っている人なら誰でもアクセスできる窓口になっているということです。

したがって、このアドバイスは、あなた方の多くが何年も繰り返し聞いてきたことでしょう。プライバシー設定を確認し、プロフィール写真の公開範囲を連絡先に制限し、情報セクションにどの個人情報を含めるかを慎重に評価してください。

いずれにせよ、この話は、私たちが毎日使用しているサービスのセキュリティと、Meta のような企業が使いやすさとデータ保護のバランスをとる優先順位について、重要な疑問を投げかけています。残っているのは、今後の展開を待ち、ユーザー名の採用やその他の考えられる是正措置が本当に同様の事態の防止に成功するかどうかを理解することだけです。