元WhatsAppセキュリティ責任者のアタウラ・バイグ(Attaullah Baig)が2025年9月8日、カリフォルニア州北部地区連邦地方裁判所にMeta社を相手取り内部告発訴訟を提起した。バイグ氏は2021年にWhatsAppに入社し、約1,500名のWhatsAppエンジニアが監査証跡なしにユーザーの機密個人情報へ無制限アクセス可能な状態を発見したと主張している。
同氏は2022年10月にサイバーセキュリティ問題を文書化し、マーク・ザッカーバーグCEOを含む経営陣に通報したが、その3日後から否定的な業績評価を受け始めたとしている。2024年11月にSECへ申立てを行い、12月にザッカーバーグ氏へ2通目の手紙を送付、2025年1月にOSHAに申立てを提出した。同年2月、Meta社は全職員の5%に影響するレイオフの一環として業績不良を理由にバイグ氏を解雇した。
この一連の問題は2019年の連邦取引委員会との50億ドルのプライバシー和解および連邦証券法に違反する可能性があるとされている。Meta広報担当者は業績不良による解雇後の歪んだ主張だと反論している。
From: 
Ex-Meta employee files whistleblower suit for alleged security flaws at WhatsApp
【編集部解説】
この内部告発訴訟は、単なる元従業員の報復的な申し立てを超えた深刻な問題を浮き彫りにしています。まず注目すべきは、アタウラ・バイグ氏が2021年から2025年2月までの約4年間、WhatsAppのセキュリティ責任者として在籍していたという事実です。これは通常の短期雇用ではなく、相当な期間にわたってセキュリティ体制を把握していた人物による告発である点が重要でしょう。
約1,500名のエンジニアによる無制限アクセスという数字は、世界で30億人が利用するメッセージングプラットフォームとしては驚くべき規模です。これが事実なら、エンドツーエンド暗号化を謳うWhatsAppの根本的なセキュリティモデルに疑問を投げかけることになります。
さらに深刻なのは、複数の報道機関が報じるアカウントハッキング被害の規模です。The Register紙によると2022年には1日あたり100,000件、Ars Technica誌によると2023年には400,000件まで増加したとされています。これらの数値は訴訟において具体的に主張されているものです。
規制面での影響も見逃せません。2019年のFTC和解では50億ドルという巨額の制裁金が科されており、今回の内部告発がこの和解条件違反にあたる場合、Meta社は新たな法的リスクに直面することになります。特にSECへの情報開示義務違反は、投資家への重大な背信行為と見なされる可能性があります。
テクノロジー業界全体への波及効果も考慮する必要があります。プライバシー保護を標榜する大手プラットフォームでこのような内部管理体制の欠陥が明らかになれば、他社のセキュリティ実践にも厳しい目が向けられるでしょう。
一方で、Meta側の反論も一定の説得力を持っています。セキュリティは「対立的分野」であり、完璧なシステムは存在しないという主張は技術的には妥当です。また、バイグ氏の解雇が業績不良によるものだったという説明も、内部告発の動機に疑問を投げかけています。
この事案は単なる企業スキャンダルを超えて、デジタル時代のプライバシー保護がいかに複雑で困難な課題であるかを示しています。Tech for Human Evolutionの観点から見れば、人類の進歩を支えるテクノロジーが同時に人間の基本的権利を脅かす可能性があることを改めて認識させる重要な事例といえるでしょう。
【用語解説】
エンドツーエンド暗号化
送信者から受信者まで、通信経路の全てでメッセージが暗号化される技術。第三者(サービス運営者を含む)が内容を読み取ることができない仕組みである。
サーベンス・オクスリー法
2002年に制定された米国の企業改革法。企業の財務報告の透明性向上と内部統制強化を義務付けており、違反には重い罰則が科される。
OSHA(労働安全衛生局)
米国労働省の機関で、職場の安全と健康を監督する。内部告発者保護も担当し、報復を受けた従業員の申立てを受け付ける。
【参考リンク】
Meta公式サイト(外部)
人と人をつなぐ未来とそれを可能にするテクノロジーの創出を目指すソーシャルテクノロジー企業
WhatsApp公式サイト(外部)
安全で信頼性の高い無料プライベートメッセージング・通話サービス、世界30億人が利用
連邦取引委員会(FTC)(外部)
100年以上にわたってアメリカの消費者を保護してきた独立機関、反トラスト法執行機関
証券取引委員会(SEC)(外部)
投資家を不正行為から保護し、証券市場の公正性・効率性を促進する独立機関
【参考記事】
Whistle-Blower Sues Meta Over Claims of WhatsApp Security Flaws(外部)
元WhatsAppセキュリティ責任者が約1,500名のエンジニアによるユーザーデータ無制限アクセスを告発
WhatsApp ex-security head spills the beans in lawsuit(外部)
2022年に1日10万件のアカウント乗っ取り被害発生、2020年FTC和解違反の可能性指摘
Former WhatsApp security boss sues Meta for systemic cybersecurity failures(外部)
2023年に毎日40万件のアカウントハッキング被害、400万ユーザープロファイル不正収集疑惑
Former WhatsApp Employee Says Bosses Ignored Cybersecurity Flaws(外部)
上司らがサイバーセキュリティ欠陥を無視し報復行為、検出・監査証跡なしのデータ操作可能
【編集部後記】
この訴訟を聞いて、皆さんはご自分のWhatsAppをどのような気持ちで見つめ直すでしょうか。私自身、毎日使っているメッセージアプリのセキュリティについて、これほど深く考えたことがありませんでした。もしかすると、「エンドツーエンド暗号化だから安全」という言葉に安心しきっていたのかもしれません。
もちろん、これは一人の元従業員による告発であり、事実関係の全容はまだ明らかではありません。しかし、私たちの日常的なコミュニケーションを支えるテクノロジーが、どのような仕組みで成り立っているのか、改めて関心を持つきっかけになるのではないでしょうか。皆さんは、プライバシー保護とサービスの利便性について、どのようなバランスを求めていますか。
