WhatsApp APIの脆弱性が明らかに
ウィーン大学とSBA Researchの研究者たちは、WhatsAppの連絡先発見APIにおけるレート制限の欠如を悪用し、35億件ものWhatsAppアカウントに関連する電話番号と個人情報を収集できる脆弱性を発見しました。
この脆弱性は、ユーザーがプラットフォームに電話番号を送信して、その番号がアカウントに関連付けられているかどうか、および使用されているデバイスを確認できるWhatsAppのGetDeviceList APIエンドポイントを悪用したものです。厳格なレート制限がないAPIは、プラットフォーム全体で大規模な列挙攻撃に悪用される可能性があります。
スクレイピング手法とその驚異的な規模
研究者たちは、このWhatsAppのAPIがまさにそのケースであることを発見しました。彼らは毎時1億件以上の番号をチェックする大量のクエリをWhatsAppのサーバーに直接送信することに成功しました。驚くべきことに、この操作はたった5つの認証済みセッションと1台の大学サーバーから実行され、WhatsApp側からアカウントのブロック、トラフィックの制限、IPアドレスの制限、または異常な活動に関する連絡は一切ありませんでした。
研究者たちはその後、世界中の630億件の潜在的な携帯電話番号を生成し、それらすべてをAPIに対してテストしました。その結果、35億件ものアクティブなWhatsAppアカウントが確認されました。
この調査では、WhatsAppのグローバルな利用状況についても新たな知見が得られました。
- インド: 7億4900万件
- インドネシア: 2億3500万件
- ブラジル: 2億600万件
- 米国: 1億3800万件
- ロシア: 1億3300万件
- メキシコ: 1億2800万件
また、中国、イラン、北朝鮮、ミャンマーなど、当時WhatsAppが禁止されていた国でも数百万のアクティブアカウントが特定されました。
さらに、研究者たちはGetUserInfo、GetPrekeys、FetchPictureなどの他のAPIエンドポイントも利用して、プロフィール写真、「About」テキスト、およびWhatsApp電話番号に関連付けられた他のデバイスに関する追加情報を収集しました。米国の番号を対象としたテストでは、7700万枚のプロフィール写真がレート制限なしでダウンロードされ、多くには識別可能な顔が写っていました。
過去のデータ漏洩との関連性
研究者たちが2021年のFacebook電話番号スクレイピング事件と比較したところ、漏洩したFacebookの電話番号の58%が2025年時点でもWhatsAppでアクティブであったことが判明しました。研究者たちは、大規模な電話番号の漏洩が、その後の悪意ある行為に何年にもわたって利用され続ける可能性があるため、非常に深刻な影響をもたらすと説明しています。
「35億件の記録(アクティブアカウント)を含むこのデータセットは、責任ある研究によって収集されたものでなければ、史上最大級のデータ漏洩として分類されるでしょう」と、「Hey there! You are Using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy」と題された論文は述べています。
APIの悪用:一般的な問題
WhatsAppのAPIにおけるレート制限の欠如は、オンラインプラットフォーム全体に広がる共通の問題を示しています。APIは情報の共有やタスクの実行を容易にするために設計されていますが、同時に大規模なスクレイピングの温床にもなり得ます。
過去にも同様の事件が発生しています。
- 2021年Facebookデータ漏洩: 脅威アクターがFacebookの「友達を追加」機能を悪用し、5億3300万人のユーザープロファイル(電話番号、Facebook ID、氏名、性別を含む)をスクレイピングしました。
- Twitter APIの脆弱性: 攻撃者がAPIの脆弱性を悪用し、電話番号とメールアドレスを5400万アカウントと照合しました。
- Dell顧客記録スクレイピング: 保護されていないAPIエンドポイントが悪用され、4900万件の顧客記録がスクレイピングされました。
これらの事件はいずれも、適切なレート制限が実施されていないアカウントまたはデータルックアップを実行するAPIによって引き起こされたものです。このようなAPIは、大規模なデータ列挙にとって格好の標的となります。