WhatsAppの新たな脆弱性:電話で始まるスパイ行為

2019年5月15日

広く世界で使用されているメッセンジャーアプリ「WhatsApp」に、ゼロデイ脆弱性のあることが明らかになりました。この脆弱性により、通話の盗聴、暗号化されたチャットの読み取り、マイクやカメラの作動が可能となります。また、スパイウェアをインストールして、写真や動画の閲覧、連絡先へのアクセスといった、さらなる偵察行為も可能です。この脆弱性を悪用するのに必要なのは、WhatsAppを使って標的に電話をすること、それだけです。

WhatsAppの新しい脆弱性について

現時点では、状況について信頼できる情報は多くありません。明らかになっているのは、特別に仕組まれた通話によってWhatsAppでバッファーオーバーフローを引き起こし、このアプリを掌握して任意のコードを実行可能となる、という情報です。攻撃者はこの手段を用いて、チャットや通話を盗み見るだけでなく、デバイスにアプリをインストール可能になるという未知のOS脆弱性を悪用してもいるようで、実際にスパイウェアをインストールしています。

WhatsAppのオーナーであるFacebookによれば、この脆弱性に対するパッチはすでにリリース済みです(英語記事)。脆弱性の影響を受けるのは、WhatsApp for Android v2.19.134未満、WhatsApp Business for Android v2.19.44未満、WhatsApp for iOS v2.19.51未満、WhatsApp Business for iOS v2.19.51未満、WhatsApp for Windows Phone v2.18.348未満、WhatsApp for Tizen v2.18.15未満です。現在のところ、最新バージョンであれば安全に使用できる状況です。

この脆弱性を悪用する試みは、すでに実環境で見られています。WhatsAppのセキュリティチームはバックエンドに変更を加え、この脆弱性を悪用した攻撃を阻止できるようにしましたが、スパイ行為を受けた人はどのくらいいたのか、それが誰だったのかについては公表されていません。

また、攻撃の第2段階でどんなスパイウェアがインストールされたのかもはっきりしていませんが、極めて柔軟な感染能力を持つことで知られるスパイウェア「Pegasus」ではないかと一部で報じられています(英語記事)。

ただし、このような脆弱性は簡単には悪用できません。また、Pegasus(このマルウェアが使われているとして)は高価なマルウェアで、国家の支援を受けた攻撃者によって使用されるのが普通です。つまり、そのような目立ったスパイが興味を示す対象ではないかぎり、おそらく影響は受けないと考えてよいでしょう。しかし、スパイ活動用のツールが流出して別の攻撃者によって使われるようになる可能性は、常にあるものです。したがって、日頃から対策を講じておくことをお勧めします。

対策

現時点でお勧めするのは、WhatsAppを最新版にアップデートすることです。Apple Store またはGoogle Playを開き、検索画面でWhatsAppを探し、[アップデート]をタップしてください。[アップデート]ボタンではなく[開く]ボタンが表示される場合は、最新のバージョンがすでにインストール済みです。

今後、この攻撃またはその他対策に関して重要な情報があれば、この記事を更新する予定です。