2026年3月18日、第三者製Telegramクライアントであるテレガアプリケーションの開発者たちは、アプリケーションとTelegramのサーバー間のすべてのトラフィックを自社のプロプライエタリなインフラストラクチャを通じてルーティングするために設計された秘密のメカニズムを起動しました。これはdontusetelega.lolで公表された技術フォレンジック分析によります。
調査で明らかにされたように、この詐欺は2つの異なるフェーズで展開されます。最初にアプリケーションはapi.telega.infoサーバーにリクエストを送り、Telegramのデータセンターの正当な座標に取って代わるために特に設計されたIPアドレスのリストを取得します。これらの偽造アドレスはつねに自律システムAS203502にトレースバックされ、2025年11月にJSC「テレガ」に正式に登録されています。フォレンジック分析の先駆者によれば、この自律システムの唯一の上流プロバイダーはAS47764 LLC VK(Mail.ru)です。著者たちが主張するところでは、この明かされた事実は状況証拠的ではありますが強く、テレガとVKの間の秘密の関係を示唆しています。
この詐欺の二次的な側面は、暗号化キーの秘密の置き換えを含みます。アプリケーションのネイティブライブラリを注意深く逆コンパイルすると、分析者たちは4つの公開RSAキーを掘り出しました。これは正統なTelegramクライアント内に不変に埋め込まれた3つのみと鮮明な対照をなしています。この補助的なキーはテレガのサーバーで容易に受け入れられていますが、Telegramの正当なインフラストラクチャによってすぐさま放棄されます。調査は、アドレスと暗号化キーの同時置換が、典型的な中間者(MITM)攻撃を促進することを強調しています。テレガのサーバーはクライアントとの単一の暗号化キーを交渉し、本物のTelegramサーバーとは異なるキーを交渉し、それにより干渉されていない平文でのすべての仲介トラフィックへの完全なアクセスを奪っています。
さらに研究者たちは、ユーザーのアクティブセッションを強制的に切断するように設計されたメカニズムを説明しました。テレガサーバーからの指令を受けて(難読化されたプッシュ通知、ハイパーリンク、またはプロモーションバナーを介して)、アプリケーションは現在のセッションの暗号化キーを容赦なく消去し、その後、強制的に再認証を開始します。この操作は、新たな暗号化ハンドシェイクを強制するために絶対に必須です。今回は偽造サーバーを通じて不可避的にルーティングされます。前述のバナーは、基礎となるコードによって明らかにされているように、ユーザーに「接続を高速化するためにアプリケーション内で再認証してください」と偽って懇願しています。
さらに分析の開発者たちは、テレガがデフォルトで完全前方秘密保持(PFS)プロトコルを顕著に無効にしていることを明らかにしています。このセーフガードは正統なTelegramクライアント内で永遠に警戒を続けています。PFSは暗号化キーの儚く定期的なローテーションを調整し、現在のキーが侵害される場合でさえ、過去の通信の神聖さが侵害されないままであることを保証します。テレガアーキテクチャ内では、この重要なフラグの配置は同じエンドポイントを介してサーバーの気まぐれに左右され、そのデフォルトの状態は危険な休止状態です。
エンドツーエンド暗号化されたシークレットチャットの聖域も同様にデフォルトで機能不全に陥っています。フォレンジック資料によれば、アプリケーションはFirebase Remote Configを介して悪意を持ってenable_scフラグをfalseに調整されたものが供給されています。その結果、シークレットチャットを開始するための着信の要求はすべて無視され、それを開始するための装置そのものは見えないように隠されています。ユーザーはこれらの秘密のチャネルを通じて彼らに到達しようとするあらゆる試みについて気づかないままです。
狡猾なMITMの仕掛けを超えて、「ブラックリスト」の圧制的なシステムがアプリケーション内に蔓延しているのが発見されました。テレガサーバーにリクエストを送ると、ソフトウェアは特定のチャネル、ユーザー、グループ、またはボットがこの禁止されたレジストリに非難されているかどうかを綿密に検証します。それらが不備な場合、それらのコンテンツは「このチャット/チャネル/ボットはプラットフォームの指令に対する違反のためにアクセスできません」と宣言する無菌のプレースホルダーで容赦なく覆い隠されます。研究者たちは、この正確な言葉遣いが、テレガの秘密の気まぐれではなく、Telegramの主権的権威から禁止が発せられるという幻想を巧みに醸し出すために意図的に作られていることを敏感に指摘します。
このMITM機能が起動されたまさにその時期に、警戒心強いユーザーは幸運にもtelega.infoのサブドメイン内に位置する2つの内部モデレーション裁判所の実演的なファサードに偶然出くわしました。最初の裁判所「ゼウス」と命名されたもので、コンテンツ削除のための請願を裁定するために設計されたチケットシステムアーキテクチャとして現れました。興味深いことに、裁判所の実験的なデータ内では、これらの請願の出所は頻繁に[email protected]というアドレスに帰せられ、不吉な「RKN」という標識を伴っていました。二次的な裁判所「ケルベロス」として指定されたもので、メッセージのダイナミック、リアルタイムモデレーションのために設計され、AI駆動型の違反分類とそれに伴う自動的な削除と追放の能力を誇っていました。フォレンジック著者たちは慎重に警告しており、ライブ環境内でのこれらのツールの能動的な展開は未検証のままであり、それらの初歩的な製作は「懐疑心を招き」、ファサードは単に初期段階のプロトタイプを表すに過ぎない可能性があると述べています。
テレガは不浸透性の聖域として大胆に自分自身を装い、VPNの必要性から完全に欠けた揺るがない接続を約束するオープンソースのTelegramクライアントです。Google Playストア内のアプリケーションのデジタルストアフロントは厳粛に「メッセージとテレメトリの完全なすべては暗号化によって密閉され、Telegramの主権領域内のみで処理される」ことを誓約し、その開発者たちが「チャットと音声通信の神聖さへのいかなるアクセスも持たない」と述べています。驚くべきことに、このアプリケーションはGoogle Playストア内で100万インストールを超えるユーザーを獲得しています。
