新しい訴訟(新しいウィンドウ)により、WhatsAppのセキュリティが再び注目を集めています。同アプリの元セキュリティ責任者であるAttaullah Baig氏は、何百人もの従業員が機密性の高いユーザーデータにアクセスできる重大な欠陥をMetaが無視し、大量のアカウントハッキングを阻止しなかったと主張しています。Metaはこれらの主張を否定していますが、30億人のWhatsAppユーザー(新しいウィンドウ)にとって、「WhatsAppは本当に安全に使用できるのか?」という疑問は変わりません。

WhatsAppはプライベートなチャットにとって安全か?

訴訟の主張にもかかわらず、WhatsAppのエンドツーエンド暗号化(E2EE)は損なわれていません。WhatsAppの暗号化プロトコルが破られたことや、Metaが会話の内容を既読できることを示唆するものは何もありません。つまり、テキスト、写真、音声通話は、Meta自身を含む外部のアクセスから引き続き保護されています。

しかし、WhatsAppはメタデータ(誰と話しているか、いつ話しているかなど)を既読でき、お住まいの地域によっては、そのデータをMetaと共有します。したがって、そのセキュリティは、あなたがどれだけの情報をプライベートに保ちたいかによって異なります。

なぜMetaはWhatsAppのプライバシーの懸念で訴えられているのか?

2021年から2025年までWhatsAppのセキュリティチームを率いていたAttaullah Baig氏は、同アプリはMetaが主張するほどプライベートではないと述べています。訴訟の中で彼は、約1,500人の従業員が、位置情報、プロフィール写真、グループメンバーシップ、連絡先リストなどの機密性の高いユーザー情報にアクセスできると主張しています。

もしこれらの主張が真実であれば、エンドツーエンド暗号化に関するWhatsAppの立場(新しいウィンドウ)が明確になるでしょう。メッセージはプライベートですが、位置情報、プロフィール写真、グループメンバーシップ、連絡先リストはそうではありません。そのような無制限のアクセスは、インサイダーの脅威や、機密情報が盗まれてダークウェブで販売される可能性のあるデータ漏洩への扉を開きます。

元セキュリティ責任者は、このレベルのアクセスは、Cambridge Analyticaのスキャンダルを受けて、Meta(当時のFacebook)に2020年に過去最高の50億ドルの罰金(新しいウィンドウ)を支払うよう強制した、拘束力のある米国政府の命令にも違反する可能性があると主張しています。

彼はまた、会社が毎日10万件以上のアンカウント乗っ取りを無視し、彼の提案した修正案を却下したとも主張しています。訴訟によると、Baig氏がこれらの懸念をMark Zuckerberg氏を含む上級指導部に提起した際、Metaは彼を解雇しました。

MetaはBaig氏の主張を否定し、彼の解雇は業績不振によるものだとしています。この疑惑は政治的な注目も集めており、上院議員らがZuckerberg氏に対し(新しいウィンドウ)、WhatsAppのセキュリティ慣行についての回答を迫っています。

Baig氏の訴訟は、6人の現・元Meta従業員(新しいウィンドウ)のグループが、同社の仮想現実プラットフォーム上で子供たちがグルーミング、ハラスメント、暴力にさらされている証拠を会社が隠蔽したと主張したわずか数日後に起こされました。Metaはそれらの主張も否定しています。

WhatsAppのセキュリティとプライバシーのリスクとは?

WhatsAppによるユーザーデータの取り扱いに注目が集まる中、このアプリを使用する際に直面する可能性のあるセキュリティとプライバシーのリスクを以下に示します。

マルウェアとスパイウェア

悪意のあるアプリやリンクは、お使いの電話にスパイウェアをインストールし、攻撃者がメッセージやコードを傍受できるようにする可能性があります。その一例がPixPirate(新しいウィンドウ)です。これはブラジルで最初に発見されたAndroidマルウェアで、同国の即時決済システムであるPixを標的としていました。その後、インド、メキシコ、イタリアでも観測されています。その目的は、銀行の認証情報を盗み、2要素認証(2FA)コードを傍受し、被害者のアカウントから不正なPix送金を開始し、アンインストールやGoogle Playプロテクトの無効化の試みをブロックすることです。

攻撃者はPixPirateを拡散するためにWhatsAppを使用してきました。マルウェアがデバイス上のWhatsAppを検出しない(新しいウィンドウ)場合、連絡先により多くの悪意のあるリンクを送信するためにWhatsAppをダウンロードします。

ゼロクリックエクスプロイト

2025年、研究者たちは、ユーザーが何もクリックしなくても、ハッカーがWhatsAppを通じてiPhoneやMacに侵入できる(新しいウィンドウ)ゼロクリック攻撃を発見しました。このエクスプロイトは、macOSとiOSが画像を処理する方法の欠陥と、WhatsAppのデバイスリンク機能の欠陥の2つを組み合わせたものでした。

サイバー犯罪者は、WhatsAppメッセージを通じてAppleユーザーにスパイウェアを送り込み、メッセージを含むデータをデバイスから盗むことができました。Metaは影響を受けたユーザーは200人未満だと述べており、AppleとWhatsAppはその後、脆弱性にパッチを適用しました。

同年、別のゼロクリック脆弱性がSamsungのデバイスに影響を与えました(CVE-2025-21042(新しいウィンドウ))。攻撃者は悪意のある画像ファイルを送信することでGalaxy携帯電話を侵害することができ、操作は一切不要でした。このエクスプロイトは、Samsungが2025年4月のセキュリティ更新で問題を修正するまで、標的型スパイウェアキャンペーンで使用されました。

SIMスワッピングと検証コード詐欺

攻撃者は携帯電話会社を騙して、あなたの電話番号を彼らが管理する新しいSIMカードに移す可能性があります。その後、新しいデバイスをセットアップする際にWhatsAppがSMSで送信する6桁のコードを共有するようあなたを騙すことができます。もし渡してしまうと、悪意のある人物があなたのアカウントを乗っ取り、あなたをロックアウトし、ユーザー情報を盗み、あなたのプロフィールを使って連絡先を騙す可能性があります。ロンドン・サザークの警察は、2021年にこれらの攻撃が急増したと報告(新しいウィンドウ)し、WhatsAppコードを決して共有しないよう人々に警告しました。

露出したメタデータ

チャットはエンドツーエンド暗号化されているかもしれませんが、WhatsApp(およびその親会社であるMeta)は依然としてメタデータ(誰と話しているか、頻度、デバイスの詳細、位置情報など)を収集しています。メタデータを使用してあなたを直接特定することはできませんが、他の情報と照合して再識別する(新しいウィンドウ)ことは可能です。また、Metaは米国に拠点を置いているため、予告なしに米国政府とあなたの情報をすべて共有する可能性があります。

35億件のWhatsApp電話番号の大量露出

2025年、オーストリアの独立した研究者グループは、WhatsAppにプライバシーの欠陥を発見しました(新しいウィンドウ)。これにより、簡単に再現可能な電話番号列挙手法を使用して、35億件の電話番号(プロフィール写真、デバイスの詳細、タイムスタンプ、「基本データ」テキスト、ビジネス情報を含む)を取得することが可能でした。同じ脆弱性は2017年に最初に報告されましたが、Metaはそれに対処しませんでした。重要なことは、この特定の手法を悪用したWhatsAppのデータ侵害は公には報告されていないということです。

電話番号やメタデータが直接あなたを特定するわけではありませんが、他のデータと照合することで、あなたが誰であるかを明らかにすることができます。おそらく、ソーシャルプラットフォーム全体で同じプロフィール写真を再利用していたり、メール、ユーザー名、または位置情報が露出した過去のデータ侵害に含まれていたりするかもしれません。これらはすべて、WhatsAppのメタデータにリンクさせることができます。

研究者たちはまた、WhatsAppのエンドツーエンド暗号化に使用される公開鍵を取得し、暗号鍵が異なるアカウント間で何百回も再利用されていることや、セッションごとに新しく生成されるはずのワンタイムプリキーが繰り返し出現していることなど、深刻な問題を発見しました。

これらのセキュリティ問題は、暗号化が破られた非公式または不正なWhatsAppクライアントが使用されていることを示唆しています。これらの改造アプリを使用すると、メッセージが傍受、復号、またはアカウントなりすましの脆弱性にさらされる可能性があります。

Metaは列挙の問題を修正したと述べ、露出したデータの機密性を軽視し、公開鍵の問題や、ほぼ10年前にこの重大な欠陥について警告を受けていた事実には対処しませんでした。

すべてのMetaプラットフォームでのターゲット広告

WhatsAppはメッセージの内容を広告に使用しない(新しいウィンドウ)としていますが、アカウント情報(国コード、年齢)、デバイス情報(言語、位置情報)、ステータスやチャンネルでのアクティビティ(何を閲覧、フォロー、クリックしたか)などの他のデータは使用しています。WhatsAppはMetaの一部であるため、このデータはFacebookやInstagram全体で共有される可能性がありますが、GDPRのおかげでヨーロッパではこのデータ共有は制限されています。

WhatsAppが2021年にプライバシーポリシーを変更して以来、あなたがビジネスと行った可能性のある支払いおよび取引データもMeta(当時はFacebook)と共有されてきました。WhatsAppをMetaのアカウントセンターに接続すると、広告設定が統合され、WhatsAppでのアクションが他の場所で表示される広告に影響を与える可能性があります。また、Meta AIを搭載した新機能により、プラットフォーム間でのデータ共有はさらに多くの懸念を引き起こしています。

Meta AIトレーニング

Meta AIはWhatsApp、Facebook、Instagramに埋め込まれており、データがどのように処理され、AIトレーニングに使用され、これらのプラットフォーム間で共有されるかについての懸念を煽っています。

WhatsAppにおいて、MetaはMeta AIがプライベートなエンドツーエンド暗号化されたチャットにアクセスすることはないとしています。しかし、Meta AIと共有するプロンプトやフィードバックは保管され、モデルの改善に使用される可能性があります。WhatsAppはまた、Metaが要約を会社や他の誰も既読できないようにすると主張する「プライベート処理」(新しいウィンドウ)に依存した会話要約機能も提供しています。

これらの保証があっても、人々が自分のデータを実際にどれだけ管理できているかについての懸念は残ります。たとえば、Facebookユーザーからは、Meta AIが同意なしにカメラロールから未公開の写真をスキャンすることを許可する設定を有効にしたとの報告があります。

WhatsAppで安全を保つ方法

WhatsAppを使用する際にプライバシーとセキュリティを向上させるためにできることは次のとおりです。

  • エンドツーエンド暗号化が正しく機能するように、必ずApp StoreまたはGoogle Playから公式のWhatsAppアプリを使用してください。
  • 電話のセキュリティ通知をオンにして、連絡先がWhatsAppを再インストールしたり、電話を変更したり、リンクされたデバイスを追加または削除したりしたときにアラートを受け取れるようにします。
  • パスキーを作成して、顔、フィンガープリント、または画面ロックでWhatsAppにログインできるようにします。これにより、SMSコードを取得されても、他の誰かがログインするのを防ぐことができます。
  • ロックアウトされた場合にアカウントを検証または回復するためのメールアドレスを追加します。メール自体が強力なパスワード2要素認証で保護されていることを確認してください。
  • エンドツーエンド暗号化されたバックアップを有効にして、iCloudまたはGoogleドライブ内のチャットを保護し、Apple、Google、Metaでさえも既読できないようにします。WhatsAppではクラウドストレージプロバイダーを選択できません。そうでない場合は、チャットバックアップを完全にオフにする必要があります。
  • 6桁の検証コードを誰とも共有しないでください。WhatsAppやMetaがそれを尋ねることは決してありません。
  • 番号を別のSIMカードに移動する前に、PINまたはパスフレーズを追加するよう携帯電話会社に依頼してください。これにより、SIMスワッピングがはるかに困難になります。
  • WhatsAppはGoogle PlayまたはApp Storeからのみダウンロードし、アプリとモバイルおよびデスクトップのオペレーティングシステムを常に最新バージョンに更新しておいてください。
  • 未知の、または疑わしいWhatsAppの連絡先からのリンクをクリックしたり、アプリをインストールしたりしないでください。連絡先について確信が持てない場合は、別の方法で連絡を取り、ユーザー情報を確認してください。
  • あなたをグループに追加できる人、プロフィール写真、最終閲覧とオンラインのステータス、基本データ、プロフィールのリンクを見ることができる人を制限して、(新しいウィンドウ)WhatsAppのプライバシー設定(新しいウィンドウ)を厳重にしてください。
  • WhatsApp上のMeta AIを完全にオフにすることはできませんが、アクティビティから学習しすぎないように対策を講じ、メッセージがAIトレーニングデータになるのを防ぐことはできます。

よりプライベートなインスタントメッセージングアプリを選ぶ

セキュリティを向上させ、他のWhatsAppユーザーが見ることができるものを制限する措置を講じることはできますが、Metaが収益のためにメタデータなどのユーザー情報を収集することに依存しているという事実は変わりません。最近の内部告発者の主張が正確であれば、そのアクセスは会社が認めているよりもさらに広範である可能性があります。Metaのプライバシー侵害の歴史を考えると、ある程度の懐疑心を持つことは正当化されます。

このレベルの管理について懸念がある場合は、収集するデータがはるかに少なく、支払いか同意かという広告モデルのために規制当局から罰金を科された巨大IT企業と結びついていない、よりプライベートなWhatsAppの代替手段を検討してください。