本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。[続きを表示]ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
2025年11月、ウィーン大学などの研究チームが、世界最大級のメッセージアプリWhatsAppに潜んでいた重大なプライバシー上の欠陥を公表した。連絡先の照合機能を悪用すると、最大約35億件のアカウント情報を自動で洗い出せたという。技術的には暗号化は破られていないが、「電話番号そのものが弱点になる」という設計上の問題が、あらためて突きつけられている。
35億件の番号が示した、メタデータの怖さ
研究チームは2024年12月から2025年4月にかけて、WhatsAppウェブ版の連絡先発見機能を逆解析し、自動的に電話番号を生成してサーバーに問い合わせる仕組みを構築した。1時間あたりおよそ1億件の番号を試行でき、結果として世界245か国・地域の約35億アカウントを列挙できたと報告している。
取得できたのはメッセージ本文ではないが、電話番号に加え、公開設定のプロフィール写真や「情報(Info)」欄、暗号化に用いる公開鍵、最終利用時刻などのメタデータだった。利用者の約半数が写真を公開し、約3割が自己紹介文を開示していたとされる。これらは、過去の流出データやSNS情報と突き合わせることで、個人を特定しやすい「逆電話帳」に変わり得る。
さらに研究者らは、中国やイラン、ミャンマーなど、WhatsAppの利用が禁止または制限されている国からも多数のアカウントが見つかったと指摘する。そうした地域では、当局や武装勢力が電話番号リストを手にした場合、活動家や記者、少数派コミュニティの把握に悪用される懸念がある。暗号通信であっても、「誰がどこで使っているか」という外側の情報が曝されることの重みが浮き彫りになった。
研究成果は2025年4月に運営側へ報告され、その後WhatsAppの親会社Metaは通報を認め、問い合わせ回数の制限強化など対策を講じたと説明している。現時点で、この欠陥が犯罪者に実際に悪用された証拠は見つかっていないとしているが、研究者らは「もし攻撃者の手に渡っていれば、史上最大級のデータ流出になり得た」とも記している。技術的な穴はふさがっても、電話番号ベースの設計が抱えるリスクは残ったままだ。
WhatsAppだけではない、API乱用という構造問題
今回の件は、特定サービス固有の異常というより、オンラインサービス全体が抱える構造的な弱点を映し出している。2021年にはFacebookの「友だち追加」機能の不備を突く自動収集で、5億3300万件超のユーザーデータが作られたと報じられ、アイルランドのデータ保護委員会はMetaに2億6500万ユーロの制裁金を科した。TwitterでもAPIの欠陥から数千万件規模のアカウント情報が照合された事例がある。
いずれも共通するのは、「連絡先にいるか」「このメールアドレスは登録済みか」といった問い合わせAPIに、現実的なレート制限が十分に設けられていなかった点だ。英紙『The Independent』は、VPN事業者の技術責任者の見解として、「電話番号は公開されやすく、長期間変わらず、機械的に総当たりしやすい“識別子”だ」と指摘する。利便性のために設計された仕組みが、そのまま大量収集の窓口にもなっている。
電話番号をIDとする設計はWhatsAppに限られない。日本でも多くのサービスがSMS認証を前提とし、メッセージアプリも連絡先アップロードを通じて「誰が利用者か」を把握している。たとえメッセージ自体がエンドツーエンド暗号化されていても、番号と利用実態が一括で照会できる状態なら、捜査機関や企業、攻撃者が作る「影のユーザーデータベース」が肥大化していくリスクは避けられない。
WhatsAppの研究では、暗号鍵の一部がサードパーティ製クライアント間で再利用されている痕跡も見つかった。これは、公式アプリ以外を使うことが暗号強度を下げかねないという示唆でもある。API設計の甘さと、周辺エコシステムの不透明さが重なることで、個々の利用者が意図しない形で安全性を損なう構図が見えてくる。
番号に頼らない設計へ 利用者と事業者に残された選択肢
運営側は、研究チームからの通報を受けて問い合わせ頻度の制限や検知ロジックを強化し、2025年10月までに対策を展開したと説明している。それでも、根本にある「電話番号=アカウント」という構図が変わらない限り、将来別の形で同様の問題が再発する余地は残る。ユーザー名や一時的な識別子を組み合わせ、電話番号を必須ではない位置づけにする設計への転換が、中長期的な課題として浮上している。
一方で、私たち利用者にもできる備えはある。PC系メディアは、プロフィール写真や「情報」欄の公開範囲を「連絡先のみ」に絞り、顔写真や他サービスのアカウントへのリンクをむやみに載せないことを勧めている。また、業務用と私用で電話番号を分ける、見知らぬ番号への応答やリンクのクリックを控えるといった基本的な対策も、番号ベースの攻撃を受けにくくするうえで有効だ。
企業や公共機関にとっても、連絡先アップロードを前提としない問い合わせ窓口や、匿名相談チャネルを整えることは喫緊の課題だろう。特に、DV被害者支援や人権団体のように高リスクの当事者を支える組織にとって、電話番号への依存は支援そのものの障壁になり得る。暗号化技術の高度化だけでなく、「どの識別子に依存するか」という設計を見直すことが、信頼できる通信基盤づくりの前提条件になりつつある。
今回のWhatsAppの事例は、巨大プラットフォームの脆さを示すと同時に、そのコストをまず負担させられるのが利用者一人ひとりであることも思い起こさせる。電話番号に頼る便利さと引き換えに、どこまでのリスクを許容するのか――その線引きを、社会全体で考え直す段階に来ている。
参考・出典
- WhatsApp contact discovery vulnerability identifies 3.5 billion users
- Researchers discover security vulnerability in WhatsApp – SBA Research
- WhatsApp API flaw let researchers scrape 3.5 billion accounts – We Fix PC
- WhatsApp security flaw exposes 3.5 billion people’s phone numbers | The Independent
- WhatsApp security flaw lets experts scrape 3.5 billion user numbers – here’s what we know, and how to stay safe
- A Simple WhatsApp Security Flaw Exposed 3.5 Billion Phone Numbers – WIRED
