オーストリアのウィーン大学などに所属する研究者らが発表した論文「Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy」は、 世界最大のインスタントメッセージングサービス「WhatsApp」で深刻なプライバシー脆弱性が明らかになった研究報告だ。
研究者らは2024年12月から25年4月にかけて実施した調査で、35億件以上のアクティブアカウントにひもづく個人情報を、レート制限やブロックを受けることなく取得できることを実証した。
WhatsAppは、ユーザーの連絡帳に登録されている電話番号がサービス(WhatsApp)に登録されているかどうかを確認する機能を提供しており、この仕組みが電話番号の列挙攻撃を可能にしている。列挙攻撃とは、大量の候補データ(この場合は電話番号)を順番にシステムに問い合わせることで、有効なアカウントや登録情報を特定する攻撃手法を指す。
研究チームは245カ国の携帯電話番号を生成するツールを開発し、630億件の候補番号から実際に登録されている番号を特定。毎秒7000件という速度で、1億件以上の電話番号を1時間当たりに検証でき、WhatsAppに登録されている35億件の電話番号を確認できた。単一のIPアドレスと5つのアカウントからの問い合わせにもかかわらず、WhatsApp側からのブロックは発生しなかった。
|
|
|
|
取得可能だったデータには、電話番号の登録状況に加え、プロフィール写真、自己紹介文、エンドツーエンド暗号化用の公開鍵、タイムスタンプ、ビジネスアカウント情報、連携デバイスの一覧が含まれていた。
研究チームは米国の電話番号範囲について7700万枚のプロフィール写真(合計3.8TB)を数時間でダウンロードし、サンプル調査では約66%の画像に人の顔を検出できた。
研究チームは24年9月に、WhatsAppの提供元であるMetaへ最初の報告を行ったが、当初は実質的な対応が得られなかった。複数回の追加報告と論文公開の予告を経て、ようやく25年8月末にMetaから協力的な対応が得られ、10月初旬までに対策が実装されたことが確認された。
この論文はセキュリティのシンポジウム「NDSS 2026」に採択されている。
Source and Image Credits: Gegenhuber, G.K., Frenzel, P.E., Gunther, M., Ullrich, J., & Judmayer, A.(2025). Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy.
|
|
|
|
※Innovative Tech:このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X: @shiropen2
|
|
|
|
|
|
|
|
Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。
IT・インターネット
ランキング
IT・インターネット
アクセス数ランキング
- 1
「元小学生ホスト」の現在の姿(写真:モデルプレス)49
話題数ランキング
- 1
「元小学生ホスト」の現在の姿(写真:モデルプレス)49
