セキュリティ専門家がTelegramで問題を発見しました。偽装されたユーザー名リンクをクリックすると、実際のIPアドレスが即座に露出してしまう可能性があります。プロキシやVPNを使用していても、この「ワンクリック」漏えいは設定を回避します。AndroidとiOSユーザーにどのような影響があるのか、そして安全を保つために何ができるのかを解説します。
新たなセキュリティ上の発見が、月間ユーザー10億人を抱えるTelegramで混乱を引き起こしています。同僚や友人のユーザー名を何気なくクリックするだけで、チャットを開くだけではなく、見知らぬ相手に現実世界の位置情報を渡してしまう可能性があるのです。
この問題は、X.com上で@0x6rss として知られる研究者によって最初に明らかにされ、その後LinkedInでセキュリティ専門家のSaurabhが確認しました。彼らの調査によると、この不具合は驚くほど簡単に悪用でき、AndroidとiPhoneの両方のユーザーに影響します。
ONE-CLICK TELEGRAM IP ADDRESS LEAK!
In this issue, the secret key is irrelevant. Just like NTLM hash leaks on Windows, Telegram automatically attempts to test the proxy. Here, the secret key does not matter and the IP address is exposed.
Example of a link hidden behind a… https://t.co/KTABAiuGYI pic.twitter.com/NJLOD6aQiJ— 0x6rss (@0x6rss) January 10, 2026
DMに潜む見えない罠
多くの人が、他のアプリより安全に感じるという理由でTelegramを利用しています。このプラットフォームには、検閲の厳しい国でブロックを回避し、通信を隠すことを目的としたMTProxyという内蔵ツールもあります。しかし、調査グループのGangExposed RU は、ハッカーが「tg://proxy」リンクとして知られる特殊なリンクを、通常のTelegramユーザー名(例:@durov)とまったく同じ見た目に偽装できることを突き止めました。
Telegram 1-click vulnerability
A single click can reveal your real IP address — even if you use a proxy.
Affects both Android and iOS Telegram clients.
pic.twitter.com/Nz8vjnb8KP
— GangExposed RU (@GangExposed_RU) January 10, 2026
ここがポイントです。その名前をクリックすると、Telegramはそれが動作しているか確認するためにサーバーへ自動的にpingを送ります。この確認は、スマホの直接のインターネット接続を使って行われ、プライバシー設定や有効化しているVPNを完全に無視します。一瞬で、相手側はあなたの実際のIPアドレスを確認でき、それにより都市、プロバイダー、概ねの所在地が分かってしまいます。
なぜ多くの人が不意を突かれるのか
安全な接続に通常必要とされるシークレットキーは、ここではまったく関係ありません。クリックするという行為そのものが引き金になるからです。一部の専門家は、ネットワークに接続しようとするだけでコンピューターが情報をうっかり漏らしてしまう、Windowsの有名な脆弱性に似ていると比較しています。
これらのリンクはアプリ内部の通常の要素のように見えるため、警戒心を抱きにくいのが厄介です。ユーザーは単にプロフィールを見ているつもりでも、実際には攻撃者が管理するサーバーへ自分の「デジタル上の住所」を送ってしまうことになります。
Telegramの対応
Telegramはその後、これはインターネットリンクが本来持つ性質だと考えているとしつつも、警告ポップアップを追加すると明確化しました。これにより、偽装リンクをクリックした場合でも、情報が共有される前に注意喚起が表示されます。
「どのプラットフォームであっても、ウェブサイトやプロキシの所有者は、アクセスしてきた人のIPを確認できます。これはWhatsAppや他のウェブサービスと比べても、Telegramに特有の問題ではありません。それでも、ユーザーが偽装リンクに気づけるよう、プロキシリンクをクリックした際に表示される警告を追加します。」
Telegram
Any website or proxy owner can see the IPs of those who access it regardless of platform. This is no more relevant to Telegram than WhatsApp or any other web service. Still, we’re adding a warning that will show when clicking proxy links so users can be aware of disguised links.
— Telegram Messenger (@telegram) January 12, 2026
このアップデートが展開されるまでは、注意するのが最善です。大規模な公開グループでは、知らない人のユーザー名をクリックするのは避けましょう。さらに安全性を高めたい場合は、Telegram内蔵のものに頼るのではなく、スマホで別のVPNアプリを使用できます。これにより、スマホから外部へ送られるすべてのpingがカバーされます。
翻訳元: https://hackread.com/telegram-add-warning-proxy-links-ip-leak/
