ダークウェブのサイバー犯罪マーケットプレイス兼ハッカーフォーラム「DarkForums」に昨日投稿された内容によると、CamelliaBtwという別名を名乗るハッカーが、Max Messengerに関する大規模なデータ侵害の犯行声明を出しました。
「Max Messenger – Full User Infrastructure & SQL Dump(Max Messenger―ユーザー基盤一式&SQLダンプ)」と題されたスレッドでは、攻撃者が同メッセージングプラットフォームの一般公開からちょうど1年後に、本番環境のシステムへ完全にアクセスしたと主張しています。投稿は、ユーザーデータ、バックエンド基盤、独自ソースコードが全面的に侵害されたに等しい内容を描写しています。
Max Messengerとは
Maxは、VKが子会社のCommunication Platform LLCを通じて2025年3月26日にリリースした、クロスプラットフォーム対応のメッセージング兼多機能アプリです。ロシア国内では、WhatsAppやTelegramなど海外サービスの代替となる「国民向けメッセンジャー」として大々的に宣伝され、登録ユーザー数は増加し、ロシアおよび近隣諸国で数百万人規模に達したと報じられています。
同サービスはメッセージング、音声・ビデオ通話、ファイル共有を提供し、政府および商取引向けのデジタルIDや各種サービス機能の統合を意図しています。多くの場合、政府方針により、ロシアおよびベラルーシで販売される端末にはMaxのプリインストールが求められてきました。
Maxは単なるチャットアプリ以上の存在として位置づけられており、中国のWeChatモデルに近い形で、メッセージングに国家サービスや追加ツールを組み合わせることを目指しています。批評家や独立系アナリストは以前から、Maxがロシア政府のデジタル基盤と構造的に統合されていることを踏まえ、メタデータやユーザー情報への国家アクセスの可能性、ならびにプライバシーについて懸念を提起してきました。
侵害主張の詳細
- 氏名、ユーザー名、認証済み電話番号を含む約1,540万件のユーザーレコード。
- 二要素認証を回避可能な有効な認証トークン。
- Bcryptでハッシュ化されたパスワード。
- プラットフォーム開始時点まで遡る、タイムスタンプおよび送信者・受信者識別子を含む完全な通信メタデータ。
- SSH鍵、APIドキュメント、Amazon S3バケット設定などの内部インフラ資産。
- クラウドストレージに保存された暗号化されていないメディアファイル。
- バックエンドのソースコード(攻撃者が、プラットフォームの暗号化モジュール内にハードコードされたバックドアがあると主張するものを含む).
投稿では、Max Messengerのメディア処理エンジンに存在する、これまで未知だったリモートコード実行の脆弱性を通じてアクセスを得たと主張しています。攻撃者によれば、スタンプパックのメタデータに不正なペイロードを注入することで欠陥を誘発でき、永続的なバックエンドアクセスが可能になるとのことです。ハッカーは、この脆弱性が2025年初頭のベータ段階から存在し、修正されなかったと述べています。
恐喝の脅し
投稿には、Max Messengerの開発者に対する直接の最後通告が含まれています。CamelliaBtwは、同社にはすでに非公開で通知済みだが、返答がないと主張しています。また、初期の成長期にプラットフォームへ参加した政治家や企業幹部に属する認証済みアカウントを把握していると述べています。
「バグバウンティ」と称する金銭的和解が24時間以内に交渉されない場合、ハッカーは生のSQLデータベースファイルの最初の5GBを、10以上の公開トレントトラッカーにわたって公開すると脅しています。
現時点では未確認
公開時点で、Max Messengerは侵害を認める/否定する公式声明を出していません。主張を独立に検証できるサンプルデータも、まだ公に公開されていません。サイバーセキュリティ専門家は、地下フォーラムでの侵害告知の一部は誇張されることがある一方で、この投稿で提示された技術的詳細の水準は、主張を厳正に精査するに値すると指摘しています。
確認されれば、この事件は近年で最も深刻なメッセージングプラットフォーム侵害の一つとなり、ユーザーのプライバシー、アカウントの安全性、暗号化通信サービスへの信頼に長期的な影響を及ぼす可能性があります。
翻訳元: https://hackread.com/hacker-russia-max-messenger-breach-data-leak/
