ワイヤード
WhatsAppのデフォルトのエンドツーエンド暗号化は、Facebookにとって最大のセキュリティ資産の一つです。しかし、アプリ自体が攻撃を受けた場合、これだけでは不十分です。マーク・ザッカーバーグ氏の会社は、世界中で15億人以上が利用するメッセージングアプリの脆弱性を突く高度なサイバー攻撃が行われたことを突き止めました。
5月初旬、同社のセキュリティエンジニアはWhatsAppの音声通話機能にソフトウェア上の欠陥を発見しました。この問題により、Android版とiPhone版の両方のWhatsAppで通話を行うと、ユーザーの行動を監視する悪意のあるソフトウェアがインストールされる可能性がありました。
ソフトウェアのコーディングにおけるバグは頻繁に発生しますが、今回のケースは異なります。今回のケースが特に憂慮すべきなのは、WhatsAppが単にアプリ内の言語の問題だけではないと考えている点です。このセキュリティ脆弱性は積極的に悪用され、監視手段として利用されていたようです。
WhatsAppの関係者は声明で、「今回の攻撃は、政府と連携して携帯電話のOSの機能を乗っ取るとされるスパイウェアを配布することで知られる民間企業による攻撃の特徴をすべて備えている」と述べた。この件を最初に報じたフィナンシャル・タイムズによると、このソフトウェアはイスラエルのNSOグループ製だという。同社は電話ハッキング技術の開発で知られている。
NSO、メキシコのジャーナリストや活動家、サウジアラビアの反体制派、カタール国民を相手取った訴訟を起こしたロンドン在住の弁護士が、この手法を用いて携帯電話にスパイウェアをインストールされたと報じられている。攻撃を実行した人物は不明である。NSOの広報担当者は、同社の技術は世界中の情報機関や法執行機関で使用されており、同社自身は「いかなる個人や組織を標的とするためにも、自社の技術を単独で使用することはないし、できない」と述べた。
WhatsAppの広報担当者は、「複数の人権団体に情報提供を依頼し、可能な限りの情報を共有し、市民社会への情報提供に協力しています」と述べた。社内調査の現段階では、影響を受けた人数は明らかにされていない。攻撃は個々の電話番号を狙ったものであるため、無差別な大規模攻撃ではなく、特定の個人を標的とした攻撃である可能性が高い。
しかし、携帯電話へのスパイウェアのインストールは非常に侵入性が高く、たとえ少数のケースで成功したとしても、攻撃者に膨大な情報を提供してしまう可能性があります。スパイウェアは、携帯電話上で行われるあらゆる行動を記録し、アクセスし、そのデータを攻撃者に送り返すことができます。スパイウェアは端末上で動作するため、WhatsAppで送信されるようなエンドツーエンドで暗号化されたメッセージも閲覧可能です。デバイス上で何が行われているかに直接アクセスできるからです。
WhatsAppは、この脆弱性が発見されて以来、エンジニアたちが懸命に修正に取り組んでいると発表しました。同社は、セキュリティに関する短い投稿でこの問題の詳細を説明しています。VoIP通話ソフトウェアの脆弱性により、デバイス上でコードがリモート実行される可能性があるとのことです。この攻撃は、たとえ電話がかかってきても応答がない場合でも成功する可能性があります。
WhatsAppを最新バージョンにアップデートする方法
では、どうすればいいのでしょうか?WhatsApp攻撃によるスマートフォンの侵害を防ぐために最も重要なのは、デバイスで実行されているアプリのバージョンを更新することです。
FacebookはAndroidおよびiOS向けアプリのアップデート版をリリースしました。このアップデートでは、攻撃の実行を阻止し、既に実行されている場合は無効化します。同社によると、Android版アプリのバージョン2.19.134より前のバージョンが影響を受け、iOS版アプリのバージョン2.19.51より前のバージョンも悪用される可能性があります。この攻撃は、Windows Phone版およびTizen版WhatsAppでも発生しました。
AndroidでWhatsAppをアップデートするには、Playストアにアクセスし、メニューをタップして「アプリとゲーム」セクションに入り、アプリの横にあるアップデートオプションを選択してください。同様に、iPhoneまたはiPadの場合は、AppleのApp Storeにアクセスし、「アップデート」セクションに移動して、WhatsAppアイコンの横にあるをタップし、アプリの最新バージョンを入手してください。これは簡単な修正で、ダウンロードには数分かかります。アプリストアにアクセスしている間に、新しいバージョンがリリースされている他のアプリも必ずアップデートしてください。
この攻撃から保護することはできませんが、アカウントのセキュリティを強化するために管理できる基本的なWhatsAppセキュリティプロトコルがいくつかあります。WhatsAppでは、会話をクラウドサービス(iCloudやGoogle Driveなど)にバックアップするオプションがあります。これらのバックアップは、後で過去のメッセージを見返すのに便利ですが、エンドツーエンドで暗号化されたメッセージほどの保護力はありません。
クラウドサービスに保存されているチャットログは暗号化されていますが、外部企業によって保存されているため、警察や法執行機関がサードパーティのホストにデータのコピーを要求する可能性があります。そして、そのデータが復号化される可能性もあります。米国のミューラー特別検察官による調査では、この手法を用いてチャットログにアクセスしました。バックアップはWhatsAppの設定でオフにすることができます。
WhatsAppでは2段階認証も使用できます。設定をオンにすると、WhatsAppのチャットにアクセスする前に、ユーザーが設定した確認コードの入力が定期的に求められます。スパイウェアがデバイス上の情報にアクセスするのを防ぐことはできませんが、2段階認証は、携帯電話が盗難または紛失した場合でも、WhatsAppのチャットへのアクセスを防ぐのに役立ちます。
この記事はWIRED UKで最初に公開されました。
