WhatsAppの脆弱性：ウェブ版で35億人の電話番号が収集可能に

オーストリアの研究者らが、WhatsAppに深刻な問題を見つけたと明らかにした。サービスの仕組み上、実質的に誰でも、約35億人にのぼる全ユーザーの電話番号を収集できてしまったという。侵入の必要はなく、ウェブ版を使った機械的な番号照合だけで足りた。

WhatsAppは、電話番号を入力するだけで連絡先を探せる設計だ。登録の有無が即座に示され、公開されているプロフィール情報も表示される。研究チームはこの日常的な検索を拡張し、自動化によって1時間に数百万件の番号をチェックできるようにした。利便性のための設計が、そのまま大量収集の抜け道になった格好だ。

実験では、全ユーザーの番号を収集できただけでなく、約57%のアカウントでプロフィール写真、約29%でテキストのステータスメッセージにもアクセスできた。いずれもユーザーが公開にしている情報だが、公開範囲に置かれたものは実質的にすべて取得可能だったことになる。

この問題は長らく放置されていた。類似の脆弱性に関する警告が開発側に届いたのは2017年だが、通話回数の制限（レートリミット）が導入されたのは2025年10月になってから。プラットフォームの規模を思えば、対応は明らかに遅かった印象だ。

一方で開発元は、取得対象となったのはユーザーが自ら公開を選んだ基本的な情報に限られると説明した。また、この弱点が意図的に悪用された証拠は見つかっておらず、研究者が非公開データにアクセスした事実もないと述べている。