WhatsAppは、人気のある使いやすいメッセージングプログラムです。エンド・ツー・エンドの暗号化によりメッセージの秘匿性を確保するなど、数々のセキュリティ機能を備えています。しかし、WhatsAppに対するハッキング攻撃は、メッセージや連絡先のプライバシーを侵害する可能性があります。

WhatsAppがハッキングされる可能性のある5つの方法をご紹介します。

1 gifによるリモートコード実行

2019年10月、セキュリティ研究者は、ハッカーがGIF画像を悪用してアプリを制御できるWhatsAppの脆弱性に目をつけました。ハッカーは、ユーザーがマルチメディアプロファイルビューを開いたままメディアファイルを送信すると、WhatsAppが画像を処理する方法を悪用しています。

このとき、アプリケーションはGIFを解析して、ファイルのプレビューを表示します。 GIFファイルは、複数のコード化されたフレームを持つ特別なファイルです。つまり、コードを画像の中に隠すことができるのです。

ハッカーが悪意のあるGIFをユーザーに送信した場合、ユーザーの全チャット履歴を破損させる可能性があります。ハッカーは、ユーザーが誰で、何を言っているのかを知ることができるようになります。また、ユーザーがWhatsAppで送信したファイル、写真、ビデオも見ることができるようになります。

この脆弱性は、Android 8.1および9のWhatsAppのバージョン2.19.230までに影響します。幸い、awakedは責任を持って脆弱性を公開し、WhatsAppを所有するFacebookは、この問題にパッチを適用することが出来ました。この問題を回避するには、WhatsApp をバージョン 2.19.244 以降にアップデートして下さい。

2 ペガサスボイスコールアタック

2019年初頭に発見されたもう一つのWhatsAppの脆弱性は、Pegasusの音声通話ハッキングです。この恐ろしい攻撃は、ハッカーがターゲットにWhatsAppの音声通話を行うだけで、デバイスにアクセスできてしまうものです。ターゲットが電話に出なくても、攻撃は有効な場合があります。ターゲットは、自分のデバイスにマルウェアがインストールされていることに気づかないかもしれません。

これは、バッファオーバーフローと呼ばれる手法で実現されます。この場合、攻撃は小さなバッファに意図的に多くのコードを入れ、「オーバーフロー」させ、アクセスできないはずの場所にコードを書き込むのです。ハッカーは、安全であるべき場所でコードを実行できるようになると、悪意のある行動を取ることができるようになります。

この攻撃では、有名なスパイウェアPegasusのかなり古いバージョンをインストールしました。これにより、ハッカーは電話、メッセージ、写真、ビデオからのデータを収集することができました。さらに、端末のカメラやマイクを起動させて録音することも可能です。

本脆弱性は、Android、iOS、Windows 10 Mobile、Tizenの各端末に適用されます。イスラエルのNSOグループが使用していたもので、同社は○○○でスタッフや他の人権活動家を監視していたとして告発されています。ハッキングのニュースが流れた後、WhatsAppはこの攻撃から保護するためにアップデートされました。

Android で WhatsApp 2.19.134 以下、iOS で WhatsApp 2.19.51 以下をご利用の場合、直ちにアプリをアップデートする必要があります。

iii. ソーシャルエンジニアリング攻撃

WhatsAppが攻撃を受けやすいもう一つの方法は、ソーシャルエンジニアリング攻撃によるものです。これらは、人間の心理を利用して情報を盗み出したり、誤った情報を流したりするものです。チェック・ポイント・リサーチというセキュリティ企業が、FakesAppと呼ばれるこのような攻撃の1つを公表しました。これにより、グループチャットで引用機能を悪用し、他の人の返信の文章を修正することができます。基本的に、ハッカーは他の正当なユーザーからのものと思われる偽の声明を仕掛けることができます。

研究者は、WhatsAppの通信を復号化することでこれを実現しました。これにより、WhatsAppのモバイル版とウェブ版の間で送信されるデータを確認することができました。ここから、グループチャットの値を変更することができた。そして、他人の真似をして、その人から発信されたように見えるメッセージを送ることができるのです。また、返信の文章を変更することも可能です。

研究者は、これがデマやフェイクニュースの拡散に使われる心配があると指摘している。ZNetによると、2018年に脆弱性が公開されたにもかかわらず、2019年にラスベガスで開催されたBlack Hatカンファレンスで研究者が講演した時点では、まだパッチが適用されていなかったという。

WhatsAppスパムの見分け方と回避方法を学ぶ必要があります。

4 メディアファイルのハイジャック

WhatsAppとTelegramに影響する脆弱性は、メディアファイルのハイジャックです。この攻撃は、アプリケーションが写真や動画などのメディアファイルを受信し、端末の外部メモリに書き込む方法を悪用するものです。

この攻撃は、一見無害なアプリケーションに隠されたマルウェアをインストールすることから始まります。このマルウェアは、電報やWhatsAppからの受信ファイルを監視することができます。新しいファイルが届くと、マルウェアは本物のファイルを偽のファイルにすり替えることができる。この問題を発見したシマンテック社は、人を騙したり、フェイクニュースを流したりするのに使われる可能性があると考えています。

この問題を解決する手っ取り早い方法があります。WhatsAppアプリの「設定」から「チャット設定」をご覧下さい。次に、「ライブラリに保存」オプションを探し、それが「オフ」に設定されていることを確認します。これにより、この脆弱性から身を守ることができます。しかし、この問題を本当に解決するには、アプリ開発者が今後、アプリのメディアファイルの扱い方を完全に変更する必要があります。

5facebookがwhatsappのチャットをスパイする

最後に考えるべきはセキュリティで、本当は脆弱性ではありません。WhatsAppのメッセージがFacebookに読まれる可能性についてです。

WhatsAppはブログの中で、エンドツーエンドの暗号化を使用しているため、FacebookがWhatsAppのコンテンツを読むことは不可能であることを示唆しています：「私たちはエンドツーエンドの暗号化を導入しました。お客様やお客様がメッセージを送信する相手が最新バージョンのWhatsAppを使用している場合、メッセージはデフォルトで暗号化されており、お客様だけがメッセージを読むことができます。今後数ヶ月間、Facebookとの連携を強化しても、暗号化されたメッセージの機密性は保たれ、誰にも読み取られることはありません。WhatsAppでもなく、Facebookでもなく、他の誰でもない。"

しかし、開発者のGregorio Zanon氏によると、これは完全な真実ではなく、WhatsAppがエンドツーエンドの暗号化を使用しているからといって、すべてのメッセージが非公開になるわけではありません。iOS 8以降では、アプリは "共有コンテナ "内のファイルにアクセスすることができます。

FacebookとWhatsAppのアプリケーションは、デバイス上で同じ共有コンテナを使用します。チャットは送信時に暗号化されますが、送信元の端末では必ずしも暗号化されているとは限りません。つまり、FacebookアプリがWhatsAppアプリからメッセージをコピーできる可能性があるということです。

なお、Facebookが共有コンテナを使用してWhatsAppのプライベートメッセージを閲覧しているという証拠はありません。しかし、その可能性を持っているのです。エンドツーエンドで暗号化されていても、Facebookの "サイキックアイ "からは、あなたのメッセージは保護されないかもしれません。

Whatsappのセキュリティ問題を意識する

これらはWhatsAppのハッキングの例であり、これらの問題の一部は開示後にパッチが適用されましたが、そうでないものもあります。

WhatsApp が安全かどうかについては、WhatsApp セキュリティ脅威ガイドをご覧下さい。