重大なクリック不要のTelegram脆弱性をめぐる波紋

出典：Pitor Adamowicz via Alamy Stock Photo

システム全体をのっとることが可能とされる重大なTelegram Messengerの脆弱性をめぐる波紋が広がっています。未修正の脆弱性の詳細な情報は7月まで開示されないことになっています。

この脆弱性は人気のチャットアプリの約10億人のユーザーに影響を及ぼす可能性があり、Trend Micro Zero Day Initiative（ZDI）の研究者Michael DePlanteによって発見されました。ZDIはZDI-CAN-30207として追跡されている脆弱性の存在を木曜日に初めて公表し、7月26日に完全開示する期限を設定しました。

しかし、TelegramはソーシャルメディアサイトXで脆弱性の存在を否定しました。これにより同社はセキュリティ研究者と対立する立場になりました。既にこの脆弱性は大きな波紋を呼び、ソーシャルメディアやセキュリティブログに多くの懸念が生じています。

ZDIはこの脆弱性に9.8のCVSSスコアを割り当てましたが、現在のところ詳細な情報は公開されていません（おそらく7月26日までは公開されないでしょう）。ただし、様々な公開報告書はなぜこの脆弱性がそのような危険な評価を受けたのかについて説明しています。

イタリアの国立サイバーセキュリティ庁のアラートによれば（Google翻訳で翻訳）、ZDI-CAN-30207は、AndroidおよびこのアプリのLinuxバージョンに対する疑いのあるゼロクリック攻撃を可能にします。リモートから実行可能なネットワークベースの攻撃であり、任意のコード実行、プライベート通信へのアクセス、監視、機密データの盗難、デバイス機能の破壊などが可能です。

良いステッカーが悪く使われる場合

この脆弱性の悪用には、Telegramの破損したステッカーを攻撃ベクトルとして使用することが関わっています。ステッカーは特別に作成されたメディアファイルで、チャットアプリでの会話中に感情を伝えたり、短いメッセージに代わって使用されることが多いです。

「攻撃ベクトルは驚くほど単純です：アニメーション化されたステッカーです」、独立系のサイバーセキュリティコンサルタント・アドバイザーCarolina ViviantiはRed Hot Cyberのブログ投稿で指摘しました。彼女はこの脆弱性を「非常に不安定」と呼んでいます。なぜなら、ユーザーがTelegramセッションで何かをクリックまたは開く必要なく、侵害が発生する可能性があるからです。

「単にコンテンツを受け取るだけで十分です」と彼女は書きました。「確認なし、ユーザーのインタラクションなし。システムはプレビューを生成するためにファイルを処理し、正にこの段階で攻撃が発生します。」

しかし、Telegramは繰り返しXで、ステッカー経由のような攻撃ベクトルは不可能であると述べ、「TelegramにアップロードされたすべてのステッカーはTelegramアプリで再生される前にサーバーによって検証されるという事実を完全に無視しています」と主張しています。

イタリアの国立サイバーセキュリティ庁は月曜日にTelegramの否定でアラートを更新しました。「この公式声明によれば、一元化されたフィルタリングプロセスは破損したステッカーを攻撃ベクトルとして使用することを防ぎ、この方法を使用して悪意のあるコードを実行することは技術的に不可能になります」と更新について述べられています。

DePlanteはDark Readingから送られたコメントと脆弱性に関するさらなる情報をリクエストするメールにすぐには返信しませんでした。

Telegramに対するさらなるトラブル？

メッセージ暗号化を使用するTelegramは、多くの人がプライベート通信に使用しています。攻撃者がデータを盗み、サイバースパイ行為を実行し、その他の悪意のある行為を実行できるようにする重大なゼロクリック脆弱性がプラットフォームに大きな混乱をもたらす可能性があるのはもっともです。

実際、脅威行為者はメッセージングアプリの脆弱性を悪用して、様々な関心人物をターゲットにすることができます。その通信は戦略的またはグローバルな重要性を持つ可能性があります。ジャーナリスト、政治人物、政府関係者、企業経営者、またはエンタープライズユーザーなどが含まれます。

一方、Telegramのセキュリティポリシーは同社を論争と法的トラブルに陥らせています。特に、CEOのPavel Durovは2024年にフランス当局に逮捕されました。これはTelegramが歴史的にテロの場合を除いて法執行機関とデータを共有することを拒否してきたこと、そしてそれがポリシーを変更することを余儀なくされたことが原因でした。

さらに、このアプリはサイバー犯罪者の間で人気があります。彼らは検出の脅威なしに悪意のある行為を実行できると感じています。実際、彼らはしばしば専用のTelegramチャネルを設定して不正な活動の基盤として使用しています。

防御対策

Telegramが重大な欠陥の存在についての立場を変えない限り、公開されるのは7月に脆弱性が存在し、ZDIが恐れるほど危険であるかどうかは不明です。それまでは、Telegramユーザーは今後数ヶ月でリリースされるすべてのアプリアップデートを適用し、欠陥に対処するためにデプロイされたパッチが表示されたら直ちに適用して、最も安全なバージョンを使用していることを確認してください。

状況がより明確になるまで、ViviantiはTelegramのビジネスと個人ユーザー向けの個別の防御対策を提案しました。前者については、メッセージ受信を信頼できるcontactまたはプレミアムユーザーのみに制限することで攻撃面を減らすことを推奨しました。「これは明らかに通信ワークフローに影響を与えますが、エクスポージャーリスクを低下させます」とViviantiは指摘しました。

一般向けには、自動ダウンロードを無効にするだけでは不十分であるため、彼女は一時的にアプリケーションをアンインストールするか、最新のブラウザを使用してTelegramのウェブバージョンを使用することを推奨しました。これは「最新ブラウザのサンドボックスアーキテクチャを活用する」とViviantiは述べています。これはネイティブクライアントと比較して、より強力な分離層を提供します。