米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年7月1日、Signalクローンアプリ「TeleMessage TM SGNL」の2つの脆弱性CVE-2025-48927(CVSSスコア5.3)とCVE-2025-48928(CVSSスコア4.0)が悪意ある攻撃者により積極的に悪用されているとして既知悪用脆弱性カタログに追加し、連邦文民行政府機関に対して2025年7月22日までにパッチ適用または使用停止を指示した。
TeleMessageは米国アーカイブ企業Smarsh傘下の企業で、TM SGNLは政府職員のメッセージ記録保持を目的に開発されたSignalクローンである。問題は2025年3月、当時の国家安全保障顧問マイク・ウォルツがイエメンのフーシ派武装勢力への空爆計画を話し合うSignalグループチャットに誤ってジャーナリストを追加した「Signalgate」騒動で表面化した。
その後ジャーナリストのミカ・リーがTM SGNLのコード解析を実施し深刻な脆弱性を発見、2025年5月には攻撃者がシークレットサービス職員やホワイトハウス職員を含む60名超の政府ユーザーのチャットログとメタデータを情報公開サイト「Distributed Denial of Secrets」で公開した。CVE-2025-48927はSpring Boot Actuatorの設定ミスによりメモリダンプが漏洩する問題、CVE-2025-48928はローカルアクセス権を持つ攻撃者がHTTPパスワードを含むメモリダンプファイルを取得できる問題である。
From:
CISA tells TeleMessage users to patch after active exploits
【編集部解説】
このTeleMessage事案は、セキュリティと規制遵守の根本的な矛盾を浮き彫りにした象徴的な事件です。政府機関が直面する「透明性の確保」と「機密性の保持」という相反する要求を満たそうとした結果、最悪のシナリオが現実になってしまいました。
今回問題となったSpring Boot Actuatorの脆弱性は、開発者にとって極めて身近な技術領域です。Spring Bootの監視・管理機能であるActuatorは、アプリケーションの稼働状況やメトリクスを確認する便利なツールですが、設定を誤ると機密情報を含むメモリダンプが外部から丸見えになってしまいます。CVE-2025-48927で指摘された `/heapdump` エンドポイントの露出は、まさにこうした設定ミスの典型例といえるでしょう。
この事案が示す最も深刻な問題は、エンドツーエンド暗号化への根本的な誤解です。Signalの真の価値は、送信者と受信者以外の誰も内容を読めない「ゼロ知識」の実現にあります。しかしTeleMessageは企業向けアーカイブ機能を追加するため、メッセージを平文で保存する仕組みを組み込みました。これは暗号化の基本原則を破壊する行為で、「安全な通信」と「記録保持」の両立がいかに困難かを物語っています。
政府機関にとって、この事件は長期的な信頼失墜につながる可能性があります。国家安全保障に関わる情報が短時間で侵害されたという事実は、サイバーセキュリティ体制の根本的な見直しを迫るものです。特に連邦政府のIT調達プロセスや、セキュリティ監査の有効性に深刻な疑問を投げかけています。
企業への影響も無視できません。コンプライアンス要件を満たすために真のセキュリティを犠牲にする「セキュリティウォッシング」の典型例として、この事案は長く記憶されるでしょう。特にSaaS事業者にとっては、規制遵守とプライバシー保護のバランスをどう取るかという根本的な課題を突きつけています。
技術的な観点では、この事件はクローンアプリケーションの潜在的リスクを明確に示しました。オープンソースの優れたソフトウェアを改変する際、セキュリティモデルの深い理解なしに機能を追加することの危険性が露呈したのです。今後、類似のクローンアプリケーションに対する監視が強化される可能性があります。
将来的には、このような事案を防ぐため、政府向けコミュニケーションツールの認証制度がより厳格になると予想されます。また、エンドツーエンド暗号化を維持しながら法的要件を満たす新たな技術的解決策の開発も急務となるでしょう。真のセキュリティと適切なガバナンスの両立は、デジタル時代の政府運営における最重要課題の一つなのです。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。セキュリティ脆弱性に割り当てられる一意の識別番号で、世界的な標準として使用される。CVE-2025-48927のように年号と連番で構成される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0のスコアで評価する国際標準システム。スコアが高いほど深刻な脆弱性とみなされる。
Spring Boot Actuator
JavaフレームワークであるSpring Bootの監視・管理機能。アプリケーションの稼働状況やメトリクスを確認できるが、設定を誤ると機密情報が露出する。
heapdump
Javaアプリケーションのメモリ内容を記録したファイル。デバッグや分析に使用されるが、機密情報を含む可能性がある。
エンドツーエンド暗号化(E2EE)
送信者と受信者の端末間でのみ暗号化と復号化が行われる通信方式。中継サーバーでも内容を読み取れない最高レベルの暗号化。
既知悪用脆弱性カタログ(KEV)
CISAが管理する、実際に攻撃で悪用されている脆弱性のリスト。掲載されると連邦政府機関は修正が義務付けられる。
Signalgate
2025年3月に発生した、マイク・ウォルツ国家安全保障顧問がイエメン空爆計画を話し合うSignalグループチャットに誤ってジャーナリストを追加した事件の通称。
【参考リンク】
CISA(サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国国土安全保障省の一部門で、国家のサイバーセキュリティ対策を統括する政府機関
Smarsh(外部)
企業向けデジタル通信のガバナンスとアーカイブソリューションを提供する米国企業
TeleMessage(外部)
企業向けセキュアメッセージングソリューションを提供する企業
Signal(外部)
オープンソースの暗号化メッセージングアプリで世界中で利用されている
Spring Boot(外部)
Javaベースのエンタープライズアプリケーション開発フレームワーク
国家脆弱性データベース(NVD)(外部)
米国国立標準技術研究所(NIST)が運営する脆弱性情報の権威あるデータベース
【参考動画】
Signal The Secure Messaging Platform with End to End Encryption – Lawrence Systems
信頼性の高いIT系チャンネルによるSignalアプリの詳細解説。エンドツーエンド暗号化の仕組みと実際の使用方法を技術的に説明している。
Why I Trust Signal: My Go-To for Secure Messaging – Lawrence Systems
セキュリティ専門家によるSignalの信頼性に関する最新分析。Signalファウンデーションの背景から設定方法まで包括的に解説している。
【参考記事】
The Trump Administration Accidentally Texted Me Its War Plans(外部)
Signalgateの発端となった記事でジャーナリストが誤って政府チャットに追加された経緯を報告
TM SGNL, the obscure unofficial Signal app Mike Waltz uses(外部)
ジャーナリストのミカ・リーによるTM SGNLの詳細分析と脆弱性発見の技術的調査報告
CISA Adds Two Known Exploited Vulnerabilities to Catalog(外部)
CISAによる公式発表でTeleMessage脆弱性のKEVカタログ追加と政府機関への対応指示
The Signal Clone Mike Waltz Was Caught Using Has Direct Access to User Chats(外部)
TM SGNLがユーザーチャットに直接アクセス可能である技術的問題を詳細分析
TeleMessage probes ‘hack’ of Signal clone used by Feds(外部)
TeleMessageのハッキング事件とその調査について政府職員のデータ流出の詳細を解説
CVE-2025-48927 Detail – National Vulnerability Database(外部)
CVE-2025-48927の公式詳細情報で脆弱性の技術的仕様とCVSSスコア評価を提供
【編集部後記】
今回この記事を書きながら、政府のセキュリティ意識の低さに愕然としました。国家安全保障を担う組織が、20分程度でハッキングされるようなアプリを使っていたなんて、正直信じられません。しかも、エンドツーエンド暗号化を謳いながら実際は平文でデータを保存していたという事実は、もはや詐欺に近いレベルです。
一体どんな調達プロセスを経てこのアプリが採用されたのか、非常に疑問に感じます。民間企業なら大問題になるような杜撰な管理体制が、税金で運営される政府機関で行われていたことに、懸念を隠せません。今後このような事案が二度と起きないよう、政府のIT調達には厳格な第三者監査が必要だと痛感しています。
