WhatsAppの新たな脆弱性:電話で始まるスパイ行為

新たに発見されたWhatsAppの脆弱性は、通話の盗聴やチャットの読み取りを許すほか、電話するだけでスパイウェアをインストールすることも可能とします。WhatsAppのアップデートを。

広く世界で使用されているメッセンジャーアプリ「WhatsApp」に、ゼロデイ脆弱性のあることが明らかになりました。この脆弱性により、通話の盗聴、暗号化されたチャットの読み取り、マイクやカメラの作動が可能となります。また、スパイウェアをインストールして、写真や動画の閲覧、連絡先へのアクセスといった、さらなる偵察行為も可能です。この脆弱性を悪用するのに必要なのは、WhatsAppを使って標的に電話をすること、それだけです。

WhatsAppの新しい脆弱性について

現時点では、状況について信頼できる情報は多くありません。明らかになっているのは、特別に仕組まれた通話によってWhatsAppでバッファーオーバーフローを引き起こし、このアプリを掌握して任意のコードを実行可能となる、という情報です。攻撃者はこの手段を用いて、チャットや通話を盗み見るだけでなく、デバイスにアプリをインストール可能になるという未知のOS脆弱性を悪用してもいるようで、実際にスパイウェアをインストールしています。

WhatsAppのオーナーであるFacebookによれば、この脆弱性に対するパッチはすでにリリース済みです(英語記事)。脆弱性の影響を受けるのは、WhatsApp for Android v2.19.134未満、WhatsApp Business for Android v2.19.44未満、WhatsApp for iOS v2.19.51未満、WhatsApp Business for iOS v2.19.51未満、WhatsApp for Windows Phone v2.18.348未満、WhatsApp for Tizen v2.18.15未満です。現在のところ、最新バージョンであれば安全に使用できる状況です。

この脆弱性を悪用する試みは、すでに実環境で見られています。WhatsAppのセキュリティチームはバックエンドに変更を加え、この脆弱性を悪用した攻撃を阻止できるようにしましたが、スパイ行為を受けた人はどのくらいいたのか、それが誰だったのかについては公表されていません。

また、攻撃の第2段階でどんなスパイウェアがインストールされたのかもはっきりしていませんが、極めて柔軟な感染能力を持つことで知られるスパイウェア「Pegasus」ではないかと一部で報じられています(英語記事)。

ただし、このような脆弱性は簡単には悪用できません。また、Pegasus(このマルウェアが使われているとして)は高価なマルウェアで、国家の支援を受けた攻撃者によって使用されるのが普通です。つまり、そのような目立ったスパイが興味を示す対象ではないかぎり、おそらく影響は受けないと考えてよいでしょう。しかし、スパイ活動用のツールが流出して別の攻撃者によって使われるようになる可能性は、常にあるものです。したがって、日頃から対策を講じておくことをお勧めします。

対策

現時点でお勧めするのは、WhatsAppを最新版にアップデートすることです。Apple Store またはGoogle Playを開き、検索画面でWhatsAppを探し、[アップデート]をタップしてください。[アップデート]ボタンではなく[開く]ボタンが表示される場合は、最新のバージョンがすでにインストール済みです。

今後、この攻撃またはその他対策に関して重要な情報があれば、この記事を更新する予定です。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?