Danny Weber
19:58 16-12-2025
© E. Vartanyan
Silent Whisperが突く脆弱性で、WhatsAppやSignalの利用状況がRTT解析だけで把握可能に。配信確認の応答時間から端末の稼働や回線種別まで推定。GitHubのPoCと監視リスク、実用的な対策を解説。無通知で毎秒20件の問い合わせが可能。Wi‑Fi/モバイル判定も。見知らぬ連絡の制限とアプデで抑止。
オンライン上に新たなツールが現れ、Silent Whisper(サイレント・ウィスパー)と呼ばれる脆弱性を浮き彫りにした。電話番号さえ分かれば、WhatsAppやSignalの利用状況を監視できるという。アカウントに侵入したりメッセージを読む話ではなく、アプリ自身が返す技術的な応答を解析するのが核だ。暗号化に触れずに活動の輪郭が見えてしまうところに、この問題のやっかいさがある。
手口は、配信確認の応答時間を測ることに依存する。WhatsAppとSignalは“ping”に自動応答し、攻撃者はその往復遅延(RTT)を解析できる。このタイミングから、端末が稼働中かどうか、Wi‑Fiかモバイルデータか、スリープか完全にオフラインかまで推し量れる。
Silent Whisperは昨年、ウィーンの研究者らが詳述していたが、gommzystudioというユーザーがGitHubに概念実証ツールを公開して以降、関心が再燃している。著者によれば、対象端末に通知を出さずに1秒あたり最大20件のリクエスト送信が可能で、これだけでも人の活動パターンをかなり精緻に描けるとしている。
オンラインでは解析チャートの画像も出回り、計測値の読み解き方が示されている。遅延のわずかな変化が端末の状態や動作モードを明らかにし、メッセージ本文に一切触れずとも、目立たない監視の余地が生まれる。
専門家は、この脆弱性がなお現実的な脅威として残っていると指摘する。基本的な対策として、見知らぬアカウントからの連絡を制限し、メッセージアプリを迅速に最新化することが勧められている。抜本的な解決には至らなくても、現状で取れる実用的な手当てにはなる。