- Bluesky ページを見る (新しいタブで開きます)
- Instagramページを見る(新しいタブで開きます)
- Facebookページで見る(新しいタブで開きます)
- YouTubeページを見る(新しいタブで開きます)
- Twitterページを見る(新しいタブで開きます)
- コピーしました
新たなハッキング事件はトランプ政権の不安定さを浮き彫りにしている。
クレジット: アンドリュー・ハーニック、ゲッティイメージズニュース経由
目次
個人的なメッセージを安全に送信したいなら、Signalは最適な選択肢です。しかし、政府関係者が機密情報を話し合う場合は、あまり適していません。
トランプ政権の高官たちも同様だ。先月、アトランティック誌編集長ジェフリー・ゴールドバーグ氏が、当時の米国国家安全保障問題担当大統領補佐官マイク・ウォルツ氏によって誤ってシグナルのグループチャットに追加されたことで、極めて機密性の高い戦争計画が議論されていたことが判明した。(トランプ氏はその後、ウォルツ氏を解雇し、その後、国連大使に指名した。)
「シグナルゲート」は続く
政権の「シグナル戦略」が問題視される理由は数多くあるが、問題はそれだけではない。木曜日、ロイター通信はホワイトハウスでの閣議中のマイク・ウォルツ氏の写真を掲載した。写真には注目すべき重要人物が多数写っているが、404 Mediaはウォルツ氏、特に彼のiPhoneに注目した。同メディアは、ウォルツ氏がタルシ・ガバード国家情報長官、マルコ・ルビオ国務長官、J・D・ヴァンス副大統領といった高官とスレッドを開設しているのを発見した。そこには、Signalがユーザーの認証情報を常に記憶しておくために定期的に送信するPIN認証メッセージが書かれていた。
あなたも気に入るかもしれない
しかし、404 Mediaは、これがSignalの通常のPIN認証ポップアップではないことに気付きました。メッセージには「TM SGNL PIN」と記載されていますが、これはTeleMessageのPIN認証画面です。TeleMessageはSignalの「クローン」で、Signalメッセージをアーカイブする方法として宣伝されています。アプリはメッセージをアーカイブすることでSignalの安全なメッセージングシステムを侵害することはないと主張していますが、404 Mediaは、宣伝されているサービスには多くのセキュリティ上の脆弱性があると報告しています。
これらの脆弱性が災いとして顕在化するのに、それほど時間はかかりませんでした。日曜日、404 Mediaは、ハッカーがTeleMessageのネットワークに侵入し、顧客データを盗んだと報じました。ハッカーはすべてを盗んだわけではありませんが、一部のDMやグループチャットに加え、WhatsApp、Telegram、WeChatといった他のチャットアプリの改変版のデータも入手しました。これらはすべて、約15~20分のハッキングで行われました。404 Mediaによると、ハッカーはWaltzのチャットや閣僚の会話にはアクセスしていませんでしたが、政府関係者の氏名と連絡先、TeleMessageのバックエンドパネル(TeleMessageの管理者がサービスを管理するためのツール)にログインするための認証情報、そしてTeleMessageを使用している可能性のある機関を示す情報にアクセスしたとのことです。
盗まれたメッセージの中には、暗号通貨法案への支持を喚起するための継続的な取り組みに関する議論を示唆するものもあった。あるメッセージには、「上院側の民主党スタッフと話したところ、共同提案者の2人(アルソブルックス氏とギリブランド氏)が反対書簡に署名しなかったため、民主党議員5人がさらに賛成すれば、上院で法案が可決される可能性はまだ十分にあると考えている」と書かれていた。ハッキングによって機密情報は漏洩しなかったものの、送信者がおそらく報道されることを意図していなかったであろう政治的な会話が明らかになった。
TeleMessage が安全でないのはなぜですか?
TeleMessage が安全なサービスではない理由、そして政府機関が機密の会話に TeleMessage を利用することが信じられない理由を理解するには、Signal がなぜ安全であるかを理解する必要があります。
Signalのチャットはエンドツーエンドで暗号化されています。つまり、アプリで誰かと会話する際、会話にアクセスできるのはあなたと受信者だけです。メッセージを送信すると、そのテキストは送信中に暗号化され、相手のデバイスに届いた時点で復号されます。もし誰かが送信中のメッセージを傍受したとしても、暗号文のように見えるでしょう。チャットに参加している人々のデバイスだけがメッセージを復号し、判読可能な形式に戻すことができるのです。
この設定により、Signalでさえあなたのメッセージにアクセスできません。Signal自身もメッセージを復号できる唯一の手段、つまりあなたのデバイスにアクセスできないため、いかなる権限もSignalにメッセージの公開を強制することはできません。たとえ誰かがSignalのデータベースをハッキングしたとしても、どうすることもできません。
一方、TeleMessageは、このセキュリティチェーンを破っています。これらのメッセージをアーカイブするために、TeleMessageはまずメッセージを平文として傍受し、保存する必要があります。同社はセキュリティを維持しながらこれを行うと主張していますが、このハッカーがDMを入手できたという事実は、エンドツーエンドの暗号化が破られていることを証明しています。盗まれた情報は「デバッグ目的」で取得されたデータから取得されたもので、TeleMessageのセキュリティチェーンにおける意図しない復号データの漏洩でした。サービスがすべてのメッセージを暗号化されたアーカイブに保存しているかどうかは問題ではありません。同社は復号データを安全でない方法で処理しており、ハッカーがアクセスできる状態になっています。
404 Mediaはハッキング以前から、このサービスのセキュリティに懐疑的だった。なぜなら、同社は「エンドツーエンド暗号化」されたメッセージをGmailにアーカイブすると宣伝していたからだ。Gmailはエンドツーエンド暗号化されていないことで悪名高いプラットフォームだ(ただし、TeleMessageはGmail機能は「デモ」に過ぎないと述べている)。また、404 MediaはSignalが自社アプリの非公式版のプライバシーとセキュリティを保証していない点も強調している。
これまでのところどう思いますか?
シグナルは個人使用には最適だが、機密情報には適していない
Signalをはじめとするエンドツーエンド暗号化サービスは、個人のセキュリティ対策に最適です。信頼できるデバイスに物理的にアクセスできない限り、メッセージにアクセスすることはできません。これは、デジタルプライバシーの保護に大きく貢献します。
しかし、ここでのセキュリティ上の懸念は暗号化だけではありません。エンドツーエンドの暗号化を含め、あらゆる種類のデジタル通信には、依然として多くの脆弱性や弱点が存在します。
ハッカーは、これらのメッセージは関連するデバイスでしか解読できないことを知っています。そのため、セキュリティを破る優れた方法は、デバイス自体をハッキングすることです。ハッカーは「Pegasus」のようなマルウェアを使って、標的のデバイスにひそかに潜伏し、暗号化されたデータを含む機密データにアクセスします。
ハッカーはこの種のマルウェアを使って著名人を日常的に標的にしており、Appleは影響を受けたユーザーに対して定期的に警告を発しているほどだ。ウォルツ氏も例外ではない。国家防諜センター(NCIC)の元所長マイク・ケイシー氏の見解では、「誰かが(ウォルツ氏の)携帯電話にペガサスなどのスパイウェアをインストールしようとしていない可能性はゼロだ…彼はおそらく、世界で最もスパイ活動の標的となっているトップ5に入る人物だ」という。
もちろん、これはあくまでも個人のデバイスに関する懸念事項です。会話の相手についても心配しなければなりません。暗号化されたチャットアプリで誰かとチャットしていて、相手の携帯電話が不正アクセスされたら、どれだけセキュリティ対策を講じても意味がありません。メッセージは無防備になります。ハッキングされる必要すらありません。相手は携帯電話をロック解除したままにして、誰でも拾ってアクセスできる状態にしておく可能性があります。さらに、トランプ政権の関係者のようにグループチャットで会話している場合、セキュリティへの影響はさらに大きくなります。
あらゆるデジタル通信にはリスクが伴います。転送するデータのリスクレベルを判断するのはあなた次第です。個人的な会話であれば、Signalのような暗号化サービスを使えば十分でしょう。しかし、人命に関わるような詳細を話し合う場合は、SCIFに留めておくのが最善かもしれません。
ダウンロードニュースレター 技術ニュースを見逃さない
ジェイク・ピーターソン シニア技術編集者
ジェイクとチームからの最新の技術ニュース、レビュー、アドバイスを入手してください。
ダウンロードニュースレター テクノロジー 関連のニュースを見逃さないでください。ジェイクとチームからの最新のテクノロジーニュース、レビュー、アドバイスをお届けします。
次の記事へスクロールしてください
