出典: imageBROKER.com via Alamy Stock Photo
ニュース概要
サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、メッセージングアプリケーションTeleMessageでのプライバシー脆弱性が悪用されていると警告しています。このアプリは、ドナルド・トランプ大統領の元国家安全保障顧問であるマイケル・ウォルツも使用していました。
TeleMessageは、Signal、WhatsApp、Telegram、WeChatなどの人気メッセージングアプリの改良版を提供しています。TeleMessageの模倣版Signalアプリ、TM SGNLは、本物のSignalバージョンと見た目が同じです。唯一の違いは、すべてのメッセージのコピーを「TeleMessageの顧客が決定した宛先」にアーカイブすることです。
これは、情報セキュリティおよびソフトウェアエンジニアのMicah Leeによるもので、彼は自身のブログでこの弱点の分析を投稿し、アプリが「誤解を招くマーケティング」を使用していると主張しました。なぜなら、エンドツーエンドの暗号化をサポートしていると主張しているにもかかわらず、実際にはそうではないからです。
TM SGNLは、AWSクラウド上にホストされたサーバーで動作しており、アーカイブされているSignalのチャットログだけでなく、Telegram、WeChat、WhatsAppのチャットログにもプレーンテキストでアクセスできます。これは、TM SGNLがSignalと互換性があるためであり、ユーザーがTM SGNLで新しいアカウントとして登録するとき、公式のSignalサーバーに登録され、真のSignalユーザーにメッセージを送信したり、逆に受信したりすることができるとLeeは説明しています。
“Signalユーザーである場合、TM SGNLユーザーと話していることを知る方法はありません。なぜなら、アプリはほぼ同じで、同じインフラを使用しているからです。” とLeeは投稿で書いています。 “これが、マイク・ウォルツが誤ってThe Atlanticの編集長ジェフリー・ゴールドバーグを、民間人でいっぱいのアパートビルの爆撃について話し合うグループチャットに追加してしまった理由です。ウォルツはおそらくTM SGNLを使用しており、ゴールドバーグはおそらくSignalを使用していました。”
前述の漏洩はユーザーのエラーによるものでしたが、ハッカーはTM SGNLのエンドツーエンド暗号化の欠如を悪用し、TeleMessageのアーカイブサーバーからユーザーデータを取得する可能性があります。
CVE-2025-47729として追跡されているこの脆弱性は、まだ分析中ですが、国家標準技術研究所(NIST)によってCVSSスコア1.9が割り当てられています。この低い深刻度スコアにもかかわらず、セキュリティ問題はハッカーによって野外で悪用され、TeleMessageのアーカイブサーバーからユーザーデータが取得されました。CISAは月曜日にこの欠陥を既知の悪用された脆弱性(KEV)カタログに追加しました。
ユーザーにとって、サーバー側で対処されるまで、この欠陥を軽減するためにできることはあまりなく、製品の使用を中止する以外に方法はありません。
翻訳元: https://www.darkreading.com/threat-intelligence/cisa-warns-telemessage-vuln-low-cvss-score