安全を売りにしているメッセージアプリ「Telegram」のセキュリティが、かなり怪しい

    安全を売りにしているメッセージアプリ「Telegram」のセキュリティが、かなり怪しい 1

    Telegram」ってご存知ですか?

    日本ではあまり馴染みがないかもしれませんが、世界中に1億人のユーザーがいるメッセージアプリです。「セキュアで安心」という謳い文句がありながらも、米Gizmodoによるトップクラスの専門家への取材によるとセキュリティ面でいくつかの問題を抱えていることが明らかになりました。

    問題のひとつは、デフォルトの設定で会話の内容が暗号化されていないこと。「それを知らない多くのユーザーは、暗号化された状態でコミュニケーションを取っていると思い込んでいる」と、アメリカ自由人権協会で上級政策アナリストと科学技術者長官を務めるChristopher Soghoianは取材に答えています。

    メッセージをデフォルトで暗号化させていないのは、暗号化やセキュリティの専門家の意見やFBIの提言の、ほぼすべてに反する設定。安全に対するプライオリティを高く掲げているアプリならば当然クリアするべき部分なのですが…。

    公式Q&Aによると、Telegramは「WhatsAppと同程度安全」だと明記しています。WhatsAppはすべてのテキストメッセージと電話での会話がデフォルトで暗号化されているだけでなく、業界で最も称賛されている暗号化プロトコルを使っています。Telegramさんは何を根拠にそれと同程度安全だと言っているのか…ちゃんと証明できるのかしら。

    さらにTelegramが抱えるもうひとつの明白な問題は、独自の暗号化プロトコル「MTProtoプロトコル」を使用していること。

    イギリスのサリー大学のAlan Woodward教授は「Telegramの適切なセキュリティ証明書は見たことがない」とコメントしています。さらに「現時点でセキュアかそうでないか判断できる材料がないため、この曖昧さはセキュリティ上厄介だ。暗号作成者がアルゴリズムをすべて明らかにするのは一般的なことなのに」と、自家製の暗号化プロトコルが透明性に欠けることを非難しています。また「相応の経験がないなら暗号を作成すべきではない。彼らがやったことは誰にも理解できない」と言います。

    「WhatsAppが使っているOpen Whisper SystemsのSignalプロトコルは、専門家が世界的に認めている」と、語るのはSoghoian氏。「これはコンピュータセキュリティの基礎だ。完璧といえるほど良いものが存在するのに、自前で作ろうとする理由は見当たらない」

    アメリカのジョンズ・ホプキンス大学で暗号解読法を専門とするMatthew Green教授は、昨年Daily Dotで「彼らのブログ投稿によれば、Telegramには暗号使用者ではないが実に優秀な数学者が複数名いて、独自のプロトコルを作成したようだ。きわめてクレイジーだがね。あれは暗号作成者が使うようなものじゃないよ。ぼくはそれが不完全かどうかも分からない。ただ、変なんだよ」とコメントしています。

    安全を売りにしているメッセージアプリ「Telegram」のセキュリティが、かなり怪しい 2

    Telegramでは、メタデータの情報漏洩も起きています。セキュリティ研究者が今年初旬に発見したところ、攻撃者にはユーザーがオンラインかオフラインかが分かり、この情報からは「いつアプリを使っているか」だけでなく、「誰と話しているか」といった情報を引き出すことも可能なのだとか。

    本当に安全であることが客観的に証明されていない今は、Telegramを使うのは控えたほうが良さそうです。

    William Turton - Gizmodo US [原文

    (Rina Fukazu)