TeleMessage社のSignalクローンアプリがハッキング被害で全サービス停止 – 米政府高官も使用の暗号化メッセージングに重大な脆弱性

2025年5月6日8:01

サイバーセキュリティニュース

TeleMessage社のSignalクローンアプリがハッキング被害で全サービス停止 - 米政府高官も使用の暗号化メッセージングに重大な脆弱性 - innovaTopia - （イノベトピア）

Last Updated on 2025-05-06 08:01 by admin

イスラエルを拠点とするTeleMessage社が提供するSignalクローンアプリがハッキング被害に遭い、2025年5月5日にすべてのサービスを一時停止した。このアプリはドナルド・トランプ大統領の元国家安全保障顧問マイケル・ウォルツが使用していたことで注目を集めていた。

TeleMessage社は2024年にオレゴン州のSmarsh社に買収された。同社は米国国務省やCDCなど複数の政府機関と契約を結び、Signalなどの暗号化メッセージングアプリを改変し、政府機関や企業がコンプライアンス目的でメッセージをアーカイブできるようにするサービスを提供している。

ハッカーはTeleMessageのソースコードに含まれていたハードコードされた認証情報などの脆弱性を悪用し、わずか15〜20分でシステムに侵入したとされる。侵害されたデータには、米国税関・国境警備局(CBP)、暗号通貨取引所Coinbase、スコシアバンクなどの金融機関に関連するメッセージ内容、政府関係者の連絡先情報、民主党議員による暗号通貨法案に関する会話の一部、およびTeleMessageのバックエンドログイン認証情報などが含まれていた。

このインシデントにより、TeleMessageが提供する改変版Signalアプリとメッセージが最終的に保存されるAWSのバージニア北部のエンドポイントとの間で、チャットログがエンドツーエンド暗号化されていなかったことが明らかになった。Smarsh社の広報担当者は「潜在的なセキュリティインシデントを調査している」と述べ、「発見後、迅速に封じ込め措置を講じ、外部のサイバーセキュリティ企業に調査支援を依頼した」と説明している。

なお、ウォルツ氏は今年3月に「Signalgate」と呼ばれる事件の中心人物となっており、イエメンのフーシ派に対する軍事作戦に関する機密情報をSignalのグループチャットでAtlantic誌の編集長ジェフリー・ゴールドバーグに誤って共有していた。ウォルツ氏は5月初旬に国家安全保障顧問から解任され、国連大使に指名された。

from:Signal chat app clone used by Signalgate’s Waltz was apparently an insecure mess

【編集部解説】

今回のTeleMessageのセキュリティ侵害事件は、政府機関における暗号化通信の運用実態と、その脆弱性を浮き彫りにした重要な事例です。

まず注目すべきは、この事件がSignalのような強固な暗号化を謳うアプリの「カスタマイズ版」が持つ根本的な矛盾を露呈させた点です。イスラエルを拠点とするTeleMessageは政府機関や企業向けに、本来削除される暗号化メッセージを記録・保存できるよう改変したアプリを提供していました。同社は公式動画で、Signalのエンドツーエンド暗号化を維持しながらメッセージをアーカイブできると主張していましたが、この「記録機能」こそが、エンドツーエンド暗号化の本質的な目的と相反するものだったのです。

複数の報道によれば、ハッカーはわずか15〜20分という短時間でシステムに侵入できたとされています。これは、セキュリティ設計に根本的な欠陥があったことを示唆しています。特にソースコードにハードコードされた認証情報という初歩的なセキュリティ上の問題が含まれていたことは、専門家から見れば驚くべき事態といえるでしょう。

この事件は「Signalgate」と呼ばれる3月の事件の続報としても重要です。当時、ウォルツ国家安全保障顧問がSignalのグループチャットにAtlantic誌の編集長を誤って招待し、イエメンへの軍事作戦に関する機密情報が漏洩しました。その後も高官たちがセキュリティに問題のあるアプリを使い続けていたという事実は、米国政府のサイバーセキュリティ意識の低さを示しています。

技術的な観点からは、TeleMessageのアプリがSignalのオープンソースコードを改変しながら、そのライセンス条項に違反している可能性も指摘されています。これは知的財産権の問題としても注目に値します。

この事件が示す最大の教訓は、セキュリティとコンプライアンスの両立の難しさでしょう。米国国務省やCDCなどの政府機関や規制産業では通信記録の保存が求められる一方、プライバシー保護のためのエンドツーエンド暗号化も必要とされています。しかし、この二つの要求は本質的に相反するものです。

今後、この事件を受けて、政府機関や企業におけるメッセージングアプリの利用ポリシーが見直される可能性があります。また、エンドツーエンド暗号化を維持しながら規制要件を満たす新たな技術的アプローチの開発が加速するかもしれません。

私たち一般ユーザーにとっても、この事件は「セキュリティ」を謳うアプリやサービスの実態を批判的に評価する必要性を改めて示しています。特に企業が提供する「安全」なコミュニケーションツールが、実際にはどのようにデータを処理し、保存しているのかを理解することが重要です。

【用語解説】

エンドツーエンド暗号化（E2EE）：
メッセージが送信者から受信者に届くまでの全過程で暗号化され、第三者（サービス提供者を含む）が内容を読むことができない技術。例えるなら、鍵付きの箱に手紙を入れて配送し、受取人だけが鍵を持っているようなものだ。

Signal：
強力なエンドツーエンド暗号化を実装したオープンソースのメッセージングアプリ。WhatsApp共同創設者のブライアン・アクトンが設立した非営利団体Signal Foundationが開発している。

Signalgate：
2025年3月に発生した事件で、マイケル・ウォルツ国家安全保障顧問がSignalのグループチャットで機密軍事計画を共有した際、誤ってAtlantic誌の編集長を招待してしまい、機密情報が漏洩した事件。

TeleMessage：
イスラエルを拠点とする企業で、企業や政府機関向けに、通常は削除されるメッセージを記録・保存できるよう改変したメッセージングアプリを提供する企業。Signal、WhatsApp、Telegramなどの暗号化アプリの「キャプチャー版」を提供している。

Signal Protocol：
Signalが使用している暗号化プロトコルで、WhatsAppなど他の多くのメッセージングアプリにも採用されている。

【参考リンク】

TeleMessage（外部）
イスラエルを拠点とし、企業や政府機関向けにメッセージングアプリのアーカイブソリューションを提供する企業。

Smarsh（外部）
2024年にTeleMessageを買収したオレゴン州の企業。規制対応のためのコミュニケーションアーカイブを提供。

Signal Foundation（外部）
Signalアプリを開発する非営利団体。プライバシーとセキュリティを重視したコミュニケーションツールを提供。

【参考動画】

【編集部後記】

私たちが日々使うメッセージングアプリ。「暗号化されている」という言葉をどれだけ信頼していますか？今回のTeleMessageの事例は、セキュリティとコンプライアンスの両立という難題を浮き彫りにしています。皆さんの組織ではどのようなコミュニケーションツールを採用していますか？また、プライバシーとセキュリティのバランスについて、どのようにお考えでしょうか？ぜひSNSでご意見をお聞かせください。