Telegramのユーザー名や無害なリンクに見えるものを1回クリックするだけで、プロキシリンクの扱われ方のせいで、攻撃者に実際のIPアドレスを露出してしまう可能性があります。
研究者が、特別に細工されたリンクによって追加の確認なしにTelegramユーザーの実際のIPアドレスを明らかにできることを実証したことを受け、TelegramはBleepingComputerに対し、今後プロキシリンクに警告を追加すると述べました。
Telegramリンクには注意
セキュリティ研究者は今週、AndroidとiOSの両方のTelegramクライアントが、ユーザーが特別に細工された内部リンクをタップすると自動的にプロキシへの接続を試みることを実証しました。
これらのリンクは通常のユーザー名に偽装でき、たとえばTelegramメッセージ内で@durovのように表示されますが、実際にはTelegramのプロキシリンクへと誘導します。
Telegramのプロキシリンク(t.me/proxy?…)は、TelegramクライアントでMTProtoプロキシを素早く設定するために使われる特別なURLです。サーバー情報を手動で入力する代わりに、リンクをクリックするだけでプロキシを追加できます:
https://t.me/proxy?server=[proxy IP address/hostname]&port=[proxy_port]&secret=[MTProto_secret]
Telegramで開くと、アプリはプロキシのパラメータ(サーバー、ポート、シークレットを含む)を読み取り、設定にプロキシを追加するようユーザーに促します。
これらのリンクは、ネットワークブロックやインターネット検閲を回避し、実際の所在地を隠すのに役立つため広く共有されています。特に制限の厳しい環境では、匿名性を求める活動家やジャーナリストなどにとって価値のある機能となっています。
TelegramのAndroidおよびiOSクライアントでは、プロキシリンクを開くと自動テスト接続もトリガーされ、プロキシが追加される前に、ユーザーの端末から指定されたサーバーへ直接ネットワークリクエストが開始されます。
攻撃者はこの挙動を悪用し、自身のMTProtoプロキシを用意して、見た目は無害なユーザー名やWebサイトURLに偽装されているものの、実際にはプロキシ設定エンドポイントを指すリンクを配布できます。
ユーザーがモバイルクライアントでそのようなリンクをクリックすると、Telegramアプリは攻撃者が管理するサーバーへの接続を試み、プロキシ運用者はユーザーの実際のIPアドレスを記録できます。
露出したIPアドレスは、そのユーザーのおおよその位置を推測したり、サービス拒否攻撃を仕掛けたり、その他の標的型の悪用を支援したりするために利用され得ます。
この問題は、ロシア語のTelegramチャンネルchekist42が https://t.me/chekist42/139で明らかにしました:
投稿に示された偽装リンクの概念実証は、XアカウントGangExposed RUによって再共有され、この問題への注目がさらに広がりました:
https://t[.]me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int
研究者は「次に起こること」として、「Telegramは追加する前にプロキシへ自動的にpingを送り、リクエストは設定済みのすべてのプロキシを迂回し、実際のIPが即座に記録される」と説明しています。
「静かで効果的な標的型攻撃だ。」
X上のセキュリティ研究およびOSINTアカウントである0x6rssは、動画のPoCでこの問題をさらに実証しました:
ONE-CLICK TELEGRAM IP ADDRESS LEAK!
In this issue, the secret key is irrelevant. Just like NTLM hash leaks on Windows, Telegram automatically attempts to test the proxy. Here, the secret key does not matter and the IP address is exposed.
Example of a link hidden behind a… https://t.co/KTABAiuGYI pic.twitter.com/NJLOD6aQiJ— 0x6rss (@0x6rss) January 10, 2026
研究者はこの挙動を、WindowsにおけるNTLMハッシュ漏えいになぞらえました。そこでは、細工されたリソースに対する単一の操作が、ユーザーの認識なしに自動的な外向きリクエストを引き起こし得ます。
一般に、IPアドレスの開示は位置追跡、プロファイリング、標的型攻撃を可能にします。
このケースでは、欠陥は1回のクリックだけで成立し、追加の確認も不要なため、標的型の匿名性剥奪に適しています。
Telegramは問題を過小評価するが、ユーザーに警告を表示する予定
BleepingComputerはTelegramに対し、この挙動を脆弱性と見なすかどうかを問い合わせました。
同社は、どのWebサイトやプロキシ運用者でも訪問者のIPアドレスを見ることができ、これは他のメッセージングプラットフォームと比べてTelegram特有のものではないと述べました。
Telegramの広報担当者はBleepingComputerに対し、「どのWebサイトやプロキシの所有者も、プラットフォームに関係なくアクセスしてきた人のIPアドレスを見ることができます」と語りました。
「これは、WhatsAppやインターネットにアクセスする他のあらゆるサービスと比べて、Telegramにとって特別に関連性が高いものではありません。」
「とはいえ、プロキシリンクをクリックした際に表示される警告を追加し、ユーザーが偽装リンクをより意識できるようにします。」
Telegramは、その警告がクライアントアプリケーションにいつ展開されるのかについての追加質問には回答しませんでした。
それまでの間、ユーザーはTelegramのユーザー名や、t.meドメインに解決されるリンクに注意するよう勧められます。偽装されたプロキシリンクをクリックすると、意図せず実際のIPアドレスを露出してしまう可能性があるためです。
