政府のサイバーセキュリティにとって懸念すべき展開として、 TeleMessage は様々な政府機関や民間組織からの機密通信を露出させた重大なセキュリティ侵害の報告を受け、全てのサービスを一時停止しました。アーカイブ目的で Signal のような人気の暗号化メッセージングアプリの修正版を提供するこのイスラエル企業は、現在そのセキュリティ慣行とメッセージアーカイブ方法に内在する脆弱性について深刻な疑問に直面しています。
侵害とその発見
このセキュリティインシデントは、 404 Media による調査を通じて明らかになりました。調査によると、ハッカーが TeleMessage のバックエンドシステムに侵入することに成功したとのことです。報告によれば、攻撃者は傍受されたデータの中から見つけた認証情報を悪用して、わずか15〜20分でアーカイブされたメッセージにアクセスしました。これにより、ユーザー名、パスワード、メッセージ内容が見える状態のバックエンドパネルに侵入することができました。侵害されたサーバーは、修正された Signal アプリのソースコード分析を通じて確認された、バージニア州北部にある Amazon Web Services のエンドポイントであると特定されました。
露呈した著名人の使用状況
このセキュリティ上の懸念は、 Reuters が Donald Trump の元国家安全保障顧問である Mike Waltz が内閣会議中に TeleMessage の Signal クローンと思われるものを使用している写真を撮影した後、公の注目を集めました。この事実は、 Waltz がイエメンでの米軍作戦に関するライブ更新を共有するために Signal のグループチャットを作成し、それが誤ってジャーナリストと共有されたことが発覚した後、特に警戒すべきものとなりました。 Reuters の写真は、 Marco Rubio 、 Tulsi Gabbard 、 JD Vance を含む他の著名な政府高官も、 Waltz のアプリを通じた通信の受信者である可能性を示唆していました。
 |
|---|
| 公式会議の場面は、政府高官の間で TeleMessage のようなメッセージングアプリの重要な使用を強調しています |
広範な政府および企業の採用
公共調達記録によると、 TeleMessage は国務省や疾病対策予防センター(CDC)を含む複数の米国政府機関と契約を結んでいます。これらの契約は複数の政権にまたがり、 Trump 時代に限定されるものではありません。国土安全保障省と FEMA によって授与された現在有効な契約では、2023年2月から2025年8月まで、モバイル電子メッセージアーカイブに210万ドルが割り当てられています。政府の使用を超えて、この侵害は米国税関・国境警備局、暗号通貨企業 Coinbase 、 Scotiabank などの金融機関、そしてワシントンD.C.首都警察のインテリジェンス部門からの通信も露出させました。
TeleMessage を利用している政府機関:
- State Department (国務省)
- Centers for Disease Control and Prevention (疾病対策予防センター)
- Department of Homeland Security (国土安全保障省)
- FEMA (連邦緊急事態管理庁)
- US Customs and Border Protection (米国税関・国境警備局)
根本的なセキュリティの欠陥
セキュリティ専門家は、 TeleMessage のアプローチに重大な脆弱性があると指摘しています:同社は通信中に Signal の暗号化を維持すると主張していますが、アーカイブ目的で復号化されたメッセージをキャプチャして保存するプロセスは、本質的に新たなセキュリティリスクをもたらします。これらのメッセージがユーザーのデバイスを離れ、 TeleMessage のサーバーにアーカイブされると、エンドツーエンドの暗号化によって保護されなくなり、それらのシステムが侵害された場合に不正アクセスに対して脆弱になります。この侵害は、 TeleMessage の Signal クローンからのメッセージだけでなく、 WhatsApp 、 Telegram 、 WeChat の修正版からのメッセージも露出させました。
TeleMessageによって改変されたアプリ:
- Signal
- Telegram
企業の対応とサービスの一時停止
この侵害に対応して、 TeleMessage は抜本的な対策を講じました。「TeleMessage は潜在的なセキュリティインシデントを調査しています。検知後、迅速に封じ込め措置を取り、外部のサイバーセキュリティ企業に調査支援を依頼しました」と TeleMessage の親会社である Smarsh の広報担当者は述べました。「念のため、すべての TeleMessage サービスは一時的に停止されています。」同社はまた、以前利用可能だったサービスの詳細やアプリのダウンロードリンクを含む、ウェブサイトのコンテンツの多くを削除しました。
規制とコンプライアンスの疑問
TeleMessage の親会社である Smarsh は、現在このアプリを Capture Mobile としてリブランディングしており、通信をキャプチャして保存することでクライアントが規制を遵守するのを支援することが彼らの役割であると強調しています。 Smarsh のエンタープライズビジネス部門社長である Tom Padgett は NBC News に対し、クライアントは Smarsh のアーカイブにメッセージを保存するか、 Gmail アドレスに転送するなど、様々なアーカイブオプションから選択できると述べました。しかし、 Smarsh はいかなる政府機関の公式記録アーカイブでもないと主張しています。重要なことに、これらのアプリは米国政府の連邦リスク認可管理プログラム(FedRAMP)の下での使用が承認されておらず、政府通信への適切性について疑問が生じています。
主要契約情報:
- DHS と FEMA の契約: 210万ドル
- 契約期間: 2023年2月から2025年8月まで
- 目的: モバイル電子メッセージのアーカイブ
Signal の立場
Signal の広報担当者は TeleMessage との距離を置き、 Signal は TeleMessage との合意を持たず、 Reuters の写真が表面化する前に製品について知らなかったことを強調しています。 Signal は非公式バージョンのアプリのプライバシーやセキュリティを保証することはできず、これらの修正版に関連するリスクを強調しています。このインシデントは、 Signal のようなプライバシー重視の設計と、政府および規制産業のコンプライアンス要件との間に固有の緊張関係があることを浮き彫りにしています。
より広範なセキュリティへの影響
この侵害は、高レベルの政府通信のセキュリティと、セキュリティとコンプライアンス要件の間のトレードオフについて重大な懸念を提起します。政府機関や組織がセキュリティを維持しながら通信をアーカイブする必要性に引き続き取り組む中、このインシデントは、安全なメッセージングプロトコルへの変更が潜在的な脆弱性をもたらすことを思い出させる厳しい警告となっています。ハッカーが機密情報に簡単にアクセスできたという事実は、特に機密政府情報を含む暗号化された通信をアーカイブする際に、より堅牢なセキュリティ対策が必要であることを示唆しています。