WhatsApp、35億件超の電話番号が無防備に公開状態 毎秒7000件の列挙攻撃に成功 海外チームが報告：Innovative Tech

オーストリアのウィーン大学などに所属する研究者らは、　世界最大のインスタントメッセージングサービス「WhatsApp」で深刻なプライバシー脆弱性が明らかになった研究報告を発表した。

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

X： ＠shiropen2

　オーストリアのウィーン大学などに所属する研究者らが発表した論文「Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy」は、　世界最大のインスタントメッセージングサービス「WhatsApp」で深刻なプライバシー脆弱性が明らかになった研究報告だ。

「WhatsApp」で深刻なプライバシー脆弱性が明らかに

　研究者らは2024年12月から25年4月にかけて実施した調査で、35億件以上のアクティブアカウントにひもづく個人情報を、レート制限やブロックを受けることなく取得できることを実証した。

　WhatsAppは、ユーザーの連絡帳に登録されている電話番号がサービス（WhatsApp）に登録されているかどうかを確認する機能を提供しており、この仕組みが電話番号の列挙攻撃を可能にしている。列挙攻撃とは、大量の候補データ（この場合は電話番号）を順番にシステムに問い合わせることで、有効なアカウントや登録情報を特定する攻撃手法を指す。

　研究チームは245カ国の携帯電話番号を生成するツールを開発し、630億件の候補番号から実際に登録されている番号を特定。毎秒7000件という速度で、1億件以上の電話番号を1時間当たりに検証でき、WhatsAppに登録されている35億件の電話番号を確認できた。単一のIPアドレスと5つのアカウントからの問い合わせにもかかわらず、WhatsApp側からのブロックは発生しなかった。

　取得可能だったデータには、電話番号の登録状況に加え、プロフィール写真、自己紹介文、エンドツーエンド暗号化用の公開鍵、タイムスタンプ、ビジネスアカウント情報、連携デバイスの一覧が含まれていた。

　研究チームは米国の電話番号範囲について7700万枚のプロフィール写真（合計3.8TB）を数時間でダウンロードし、サンプル調査では約66％の画像に人の顔を検出できた。

　研究チームは24年9月に、WhatsAppの提供元であるMetaへ最初の報告を行ったが、当初は実質的な対応が得られなかった。複数回の追加報告と論文公開の予告を経て、ようやく25年8月末にMetaから協力的な対応が得られ、10月初旬までに対策が実装されたことが確認された。

　この論文はセキュリティのシンポジウム「NDSS 2026」に採択されている。

Source and Image Credits: Gegenhuber, G.K., Frenzel, P.E., Gunther, M., Ullrich, J., & Judmayer, A.（2025）. Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy.