WhatsAppの「一度だけ表示」は安全？バイパス脆弱性の実態と対策

WhatsAppの「一度だけ表示」機能とは

WhatsAppには、送信した写真や動画を相手が一度閲覧すると自動的に消える「一度だけ表示（View Once）」機能があります。2021年に導入されました。つまり、プライベートな画像を安心して共有できる機能として、20億人以上のユーザーに利用されています。

この機能を使うと、モバイルアプリでは閲覧後にメディアが消去されます。また、スクリーンショットもブロックされます。デスクトップでは「スマホで開いてください」と表示されます。閲覧自体ができない仕様です。

しかし、セキュリティ研究者のTal Be’ery氏が、Web版WhatsAppでこの機能をバイパスできるバグを発見しました。技術的には、「一度だけ表示」のメディアデータ自体はWebアプリにも送信されていました。つまり、結果として、表示制限がクライアント側でしか処理されていなかったのです。

つまり、ブラウザの開発者ツールや簡単なスクリプトを使えば（Chrome拡張機能の危険性も参照）、本来閲覧できないはずのメディアを取得・保存できてしまう状態でした。実際に、このバイパスを自動化する拡張機能も複数ありました。

Be’ery氏が指摘した問題の本質は、「プライバシーがないよりも悪いのは、偽りのプライバシー感覚だ」という点です。ユーザーは「一度だけ表示」を使えば安全だと信じます。しかし、実際にはそうではありませんでした。要するに、この信頼のギャップが最も危険なのです。

Be’ery氏はこの脆弱性を2024年8月にMetaのバグ報奨金プログラムを通じて報告しました。WhatsApp側は「アップデートを展開中」とコメントしました。ただし、完全な修正時期は明示されませんでした。

その後、WhatsAppはWeb版での処理方法を変更しました。さらに、サーバー側でのアクセス制御も強化されています。ただし、エンドツーエンド暗号化の仕組み上、受信端末でデータが復号される以上、つまり、受信者が悪意を持てばキャプチャは完全には防げません。

さらに、これはWhatsAppに限った話ではなく、セキュリティ対策の観点からも、SnapchatやInstagramのDMなど「消えるメッセージ」機能を持つすべてのアプリに共通する根本的な課題です。

この問題を踏まえて、ユーザーが意識すべきポイントをまとめます。

まず、「一度だけ表示」機能は絶対的なプライバシー保護ではないという認識を持つことが大切です。機能自体はカジュアルな保護には有効です。しかし、本当に流出させたくない画像は送信しないのが最も確実です。

WhatsApp自身も「信頼できる相手にのみこの機能を使ってください」と呼びかけています。そのため、技術的な保護には限界があるため、最終的には送信相手への信頼がベースになるという現実を理解しておきましょう。

WhatsAppの「一度だけ表示」機能にはWeb版でのバイパス脆弱性が存在していました。修正は進められています。しかし、「消えるメッセージ」には技術的な限界があります。最も重要なのは機能に過度に依存しないことです。送信する内容と相手を慎重に選びましょう。

なお、フィッシング攻撃の手口も進化しており、そのため、メッセージアプリの対策はますます重要です。