セキュリティ · 1 min read · Oct 18, 2025

Windows用WhatsAppがPythonおよびPHPスクリプトを警告なしに実行可能に

インターネット上で最も人気があり広く使用されているインスタントメッセージングプラットフォームの1つとして、WhatsAppはユーザーのプライバシーとデータを保護するために、最も危険なファイルをブロックする強力なセキュリティ対策を講じています。

しかし、Windows用の最新バージョンのWhatsAppで最近発見されたセキュリティ脆弱性により、攻撃者は受信者がファイルを開くときに警告なしにコンピュータ上でPythonおよびPHPの添付ファイルを実行できるようになります。

このWhatsAppの脆弱性は、脅威のアクターが受信者のコンピュータ上で悪意のあるコードを直接実行できるため、ユーザーにとって重大なリスクをもたらします。

セキュリティ研究者のSaumyajeet Dasは、WhatsAppチャットに接続できるさまざまなファイルタイプをテストしている際に、Windows用のWhatsAppの現在のバージョンに脆弱性を発見しました(BleepingComputer経由)。

「.EXEのような潜在的に危険なファイルを送信する際、WhatsAppはそれを表示し、受信者に「開く」または「名前を付けて保存」の2つのオプションを提供します」とBleepingComputerは報告書で述べています。

「しかし、ファイルを開こうとすると、Windows用のWhatsAppはエラーを生成し、ユーザーにはファイルをディスクに保存し、そこから起動するオプションしか残されません。」

Dasは、WhatsAppクライアントが起動をブロックしない3つのファイルタイプ、すなわち.PYZ(Python ZIPアプリ)、.PYZW(PyInstallerプログラム)、および.EVTX(Windowsイベントログファイル)を発見しました。

BleepingComputerが独自のテストを実施したところ、WhatsAppはPythonファイルやPHPスクリプトの実行をブロックしないことが判明しました。

すべての機能が揃っている場合、受信者は受信したファイルの「開く」ボタンをクリックしてスクリプトを実行するだけです。

Dasは、Windows用の最新バージョンのWhatsAppにおけるセキュリティ脆弱性が、既存のセキュリティ対策を回避して任意のコード実行を可能にすることを示しています。

ただし、この脆弱性を悪用するには、コンピュータにPythonがインストールされている必要があり、これはターゲットをソフトウェア開発者、研究者、および上級ユーザーに制限する可能性があります。

Windows用のWhatsAppで発見されたセキュリティ脆弱性は、2024年6月3日にMetaに報告されました。

しかし、同社は2024年7月15日に、別の研究者がすでに問題を報告しており、修正されるべきであると回答しました。

研究者がBleepingComputerに連絡した際、脆弱性は最新のWhatsAppリリースであるv2.2428.10.0においても依然としてアクティブであり、同出版物はWindows 11で再現しました。

「私はこの問題をMetaのバグバウンティプログラムを通じて報告しましたが、残念ながら、彼らはそれをN/Aとして閉じました。これは簡単に軽減できる明白な欠陥であるため、失望しています」と研究者は説明しました。

BleepingComputerがWhatsAppにこの問題に関する説明を求めたところ、WhatsAppは研究者の報告を却下し、セキュリティリスクは見られず、修正の計画はないと述べました。

「私たちは研究者が提案した内容を読み、彼らの提出に感謝しています。マルウェアは、ユーザーを騙すために意図されたダウンロード可能なファイルを含む、さまざまな形を取ることができます」とWhatsAppの広報担当者はBleepingComputerに対して述べました。

「そのため、私たちはユーザーに、知らない人からのファイルをクリックしたり開いたりしないよう警告しています。WhatsAppや他のアプリを通じて受け取ったかどうかに関わらず。」

同社の代表者はまた、WhatsAppには、連絡先に登録されていない人や異なる国に登録された電話番号からメッセージを受信した際にユーザーに通知するシステムがあると説明しました。

Dasは、Metaが彼の脆弱性報告とWhatsAppのセキュリティ問題を無視したことに不満を表明しました。「単に.pyzおよび.pyzw拡張子をブロックリストに追加することで、MetaはこれらのPythonic ZIPファイルを通じた潜在的な悪用を防ぐことができます」と研究者は述べました。

しかし、問題に対処することで、WhatsAppは「ユーザーのセキュリティを強化するだけでなく、セキュリティの懸念を迅速に解決することへのコミットメントを示すことができる」と彼は付け加えました。

BleepingComputerも、PHP拡張子もブロックされていないことをWhatsAppに通知しましたが、まだ返答を受け取っていません。

それまでの間、WhatsAppユーザーは警戒を怠らず、特に不明なソースからの疑わしいファイルを開かず、常にソフトウェアを最新の状態に保つべきです。

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。