マイク・ウォルツ氏、政府がSignalメッセージ保存に使うアプリを誤って公開
(404media.co)- トランプ政権の関係者 Mike Waltz 氏の携帯電話の写真から、メッセージ保存用の非公式Signalとみられるアプリを使用している場面が明らかになった
- Waltz 氏は木曜日まで 米国家安全保障担当補佐官 を務めており、公職者がSignalでどのレベルの情報を議論しているのかをめぐる疑問が強まっている
- Reuters の写真は、Donald Trump 氏が主宰した ホワイトハウスの閣議 中に Waltz 氏が携帯電話を確認する場面を捉えている
- 画面には JD Vance、Tulsi Gabbard、Marco Rubio など 政府高官 らのメッセージが表示されているように見える
- 画面下部には通常のSignalの PIN確認メッセージ のように見える文言があり、アカウント乗っ取り防止とメッセージ保存の仕組みの両方に注目が集まっている
写真で明らかになった非公式Signalの使用
- Mike Waltz 氏の携帯電話の写真から、Signalの非公式バージョン とみられるアプリの使用場面が確認された
- このバージョンは メッセージ保存 を目的に設計されたアプリとされている
- Waltz 氏は木曜日まで米国の National Security Advisor だった
Reuters写真の文脈
- Reutersが公開した写真 は、Donald Trump 氏がホワイトハウスで開いた 閣議 の最中に Waltz 氏が携帯電話を確認する場面を捉えている
- 画面には複数の政府高官のメッセージが見える
- JD Vance
- Tulsi Gabbard
- Marco Rubio
SignalのPINメッセージとセキュリティの文脈
- Waltz 氏の携帯電話画面の下部には、通常のSignalの PIN確認メッセージ のように見える文言がある
- SignalのPIN確認メッセージは、ユーザーにPINを覚えておくよう促す際に表示されることがある
- PINは、他人によるアカウント乗っ取りを防ぐために使われる可能性がある
残る実務的な疑問
- この非公式版Signalが メッセージ保存 のために使われているのであれば、公職者がこのアプリでどのレベルの情報を議論しているのかが重要な争点になる
- 保存されるデータがどのように 安全に処理 されるのかも、確認が必要な点として残っている
1件のコメント
Hacker News のコメント
https://archive.ph/oXYXe
政府機関は以前にも、アーカイブ機能付きの暗号化メッセンジャー版に費用を払ったことがある。2021年に CBP が Wickr に70万ドルを支払っていた。
こういうものは Signal を支援するのにぴったりの用途に見える。大企業や政府機関がアプリ開発者に直接、カスタムフォークの費用を払えばよいのに、なぜ TeleMessage が金を受け取るのか分からない。Signal Foundation は有料フォークの実装を容易にしていないのだろうか?
「TM SGNL」は TeleMessage という会社のソフトウェアを指しているようだ。この会社は人気メッセンジャーアプリの複製版を作り、それぞれのアプリにアーカイブ機能を追加している
Signal を使いながら海外企業に通信を傍受させるつもりなら、何の意味があるのか分からない。おそらく政府承認アプリのぎこちないユーザー体験ではなく、商用製品の UX が欲しかったのだろうが、代替案が何だったのか知っている人はいる?
Signal は政府用途には承認されているが、非公開の国防総省情報には使えない。「SCIF に来て、そこで詳細を話そう」くらいには Signal を使い、詳細はセキュアな環境で議論すべきだ
CISA は代わりにエンドツーエンド暗号化サービスを使うよう勧告し、特に Signal を明示していた。
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal も結局はスマートフォン上の1つのアプリにすぎない。秘密通信に使うつもりなら、そのスマートフォンにはソフトウェアを最小限だけ置くか、まったく入れず、パスワードや暗号化など可能なあらゆる方法で保護すべきだ
アーカイブのためにセキュリティ脆弱性を受け入れる必要があるのか疑問だ。どうせイスラエルと Pegasus に頼めばアーカイブを受け取れるだろうに
いくつかの詳細を見ると、TeleMessage はイスラエル企業だった、あるいは今もそういう企業だったが [1]、昨年、米国企業の Smarsh [2] に買収され、Smarsh 自体も米国企業 K1 Investment Management の子会社である。会社が移転したのかは分からない。
直接関係はないかもしれないが、利用規約には中国国内のメッセージングに関する別条項もあり、中国政府への開示が含まれるように見える。アプリがどう動作するのかは不明だ。Signal クライアントのフォークのように宣伝されており、すべての内容をリモートサーバーにアップロードしているように見えるが、そうなると保管庫を1つの受信エンドポイントとみなし、その接続が安全だと考えない限り、当然 エンドツーエンド暗号化は破られる。インターフェースも Signal と同じだと宣伝しているようだ。
ところが iOS と Android の Signal クライアントはいずれも AGPLv3 である。TeleMessage クライアントがプロプライエタリソフトウェアではないという痕跡は見つけられなかった。だとすると AGPLv3 に従い、有料顧客にだけソフトウェアとソースコードを渡し、顧客は再配布できるようにしているのか。クライアントを完全に再実装したのか。それとも 違法なプロプライエタリ・フォークなのか。1つ目は可能性が低そうで、後ろの2つはアプリのセキュリティ面でかなり不吉だ。
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
少なくとも GPLv2 は、「私的な」改変は私的なままで、従業員は外部配布とは見なされない、という形で企業寄りだと説明されることがよくあった。AGPL についてはよく知らない。
以前、GPL ソフトウェアを使ったカスタムソフトウェアソリューションを軍関係の顧客、おそらく DOD 向けに販売する会社で働いていた。10年以上誰もコードを要求しなかったが、数年前になってようやく誰かが要求した。おそらく評価しようとしていたのだろうが、複数の業務の中核として使われていたものなので、フォークするには相当苦労したはずだ。動く部品が本当に多かった。
誰かが TM SGNL サーバーに接触したうえでソースを要求し、拒否されない限り、違法ではない。
実際、少し怖いのは、Global Relay はすべてを SMTP で受け取ることだ。DNSSEC や MTA-STS を設定しているかは確認していないが、Global Relay の運用方法を見る限り、やっているようには思えない。うまく配置されたプロキシや DNS 汚染だけで、Global Relay に送られる機密性の高いメールをかなり吸い上げられそうだ。
アプリはこれのように見える。
https://www.telemessage.com/how-to-install-and-register-sign...
JD が送った「相手からオフになっているとの確認を受けた」というメッセージが何を意味するのか、本当に気になる。
ちょっと待って、彼らが使っているのは イスラエル情報機関の将校たちが運営する Signal 複製アプリということなのか?
この部分はまだ十分に知られていないようだ。その会社の住所を Google Maps で探すと、実際には「Cyberint」という会社が出てくるが、かなりまずそうに見える。
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
さらに悪いのは、会社サイトのチーム紹介を見ると、CEO を含め「元」イスラエル情報機関の将校に見える人物であふれている点だ。
https://www.telemessage.com/team/
これは現在知られている話よりもはるかに大きな問題に見える。元の Signalgate より何桁も大きい。ここでの含意は、イスラエル情報機関の将校たちが、いま世界で最も優れたアクセス権、すなわち米国国家安全保障担当補佐官が参加するすべての会話のリアルタイムフィードを持っていた可能性があるということだ。