はじめに:高リスクユーザーを保護する新機能
WhatsAppは、ジャーナリスト、公人、その他の高リスク個人を標的とする高度な脅威、特にスパイウェア攻撃からユーザーを保護するための新しいセキュリティ機能「厳格なアカウント設定(Strict Account Settings)」の展開を開始しました。この機能は、既存のエンドツーエンド暗号化を基盤としつつ、さらなる極端な保護策を追加するものです。
「厳格なアカウント設定」の詳細と機能
ユーザーはこの新しいプライバシーおよびセキュリティ制御を、主要デバイスから「設定」→「プライバシー」→「詳細」の順に進み、「厳格なアカウント設定」オプションを有効にすることで利用できます。一度有効にすると、最も制限的なプライバシー制御が自動的に適用されます。具体的な機能は以下の通りです。
- 二段階認証が自動的にオンになります。
- 未知の送信者からのメディアおよび添付ファイルをブロックします。
- 未知の相手からの通話をミュートします。
- リンクプレビューをオフにします。
- ユーザーの最終閲覧時刻、オンライン情報、プロフィール写真、詳細情報、プロフィールリンクへのアクセスをロックします。
- その他、ユーザーを攻撃に晒す可能性のある機能を制限します。
WhatsAppは、「すべての人にとってのプライバシーの権利を常に守りますが、一部のユーザー(ジャーナリストや公的な人物など)は、稀で非常に洗練されたサイバー攻撃に対して極端な保護が必要になる可能性があることも認識しています」と述べています。
機能導入の背景:巧妙化するサイバー攻撃の脅威
このMetaの発表は、多くのジャーナリスト、活動家、政治家が、NSO GroupのPegasusのようなスパイウェアによって携帯電話を感染させられてきた経緯を受けたものです。これらの攻撃は、ユーザーの操作なしにiOSおよびAndroidデバイスをハッキングする「ゼロクリックエクスプロイト」を含むことが多く、特に政府系のアクターによって行われるケースが見られます。
過去の事例として、以下のようなものがあります。
- 2024年8月、WhatsAppはiOSおよびmacOSのメッセージングクライアントにおけるゼロデイ脆弱性へのパッチを適用しました。これは標的型ゼロクリック攻撃に悪用されていました。
- その数ヶ月前にも、Paragon Graphiteスパイウェアの感染に利用された別のゼロデイ脆弱性に対処するセキュリティアップデートをリリースしています。
- 2024年11月には、法廷文書により、イスラエルの監視企業NSO GroupがWhatsAppに提訴された後も、複数のゼロデイエクスプロイトを展開していた疑いが明らかになりました。
- 2025年5月には、2019年に1,400人のWhatsAppユーザーを標的にしたスパイウェア攻撃に対し、同社に1億6,700万ドルの罰金が科せられました。
他プラットフォームとの比較と今後の展望
Appleも同様の対策として、約3年前の2022年7月に、ジャーナリストなどの高リスク個人を標的としたスパイウェア攻撃から保護するため、「ロックダウンモード(Lockdown Mode)」を展開しています。これは、特定の機能を厳しく制限し、高度に標的化された傭兵スパイウェアによって悪用される可能性のある攻撃面を大幅に削減するものです。
また、WhatsAppは、写真、ビデオ、メッセージを標的とするスパイウェアに対する保護を強化するため、舞台裏でプログラミング言語をRustへ徐々に移行していることも明らかにしました。
結論:利用は限定的
WhatsAppは、この機能は「そのような攻撃の標的になる可能性があると考えるごく一部のユーザー向けに構築された」と強調しています。そのため、「高度なサイバーキャンペーンの標的になる可能性があると考える場合のみ、これをオンにすべきであり、ほとんどの人はこのような攻撃の対象にはなりません」と注意を促しています。