1 ポイント 投稿者 GN⁺ 2025-05-04 | 1件のコメント | WhatsAppで共有
  • トランプ政権の関係者 Mike Waltz 氏の携帯電話の写真から、メッセージ保存用の非公式Signalとみられるアプリを使用している場面が明らかになった
  • Waltz 氏は木曜日まで 米国家安全保障担当補佐官 を務めており、公職者がSignalでどのレベルの情報を議論しているのかをめぐる疑問が強まっている
  • Reuters の写真は、Donald Trump 氏が主宰した ホワイトハウスの閣議 中に Waltz 氏が携帯電話を確認する場面を捉えている
  • 画面には JD Vance、Tulsi Gabbard、Marco Rubio など 政府高官 らのメッセージが表示されているように見える
  • 画面下部には通常のSignalの PIN確認メッセージ のように見える文言があり、アカウント乗っ取り防止とメッセージ保存の仕組みの両方に注目が集まっている

写真で明らかになった非公式Signalの使用

  • Mike Waltz 氏の携帯電話の写真から、Signalの非公式バージョン とみられるアプリの使用場面が確認された
  • このバージョンは メッセージ保存 を目的に設計されたアプリとされている
  • Waltz 氏は木曜日まで米国の National Security Advisor だった

Reuters写真の文脈

  • Reutersが公開した写真 は、Donald Trump 氏がホワイトハウスで開いた 閣議 の最中に Waltz 氏が携帯電話を確認する場面を捉えている
  • 画面には複数の政府高官のメッセージが見える
    • JD Vance
    • Tulsi Gabbard
    • Marco Rubio

SignalのPINメッセージとセキュリティの文脈

  • Waltz 氏の携帯電話画面の下部には、通常のSignalの PIN確認メッセージ のように見える文言がある
  • SignalのPIN確認メッセージは、ユーザーにPINを覚えておくよう促す際に表示されることがある
  • PINは、他人によるアカウント乗っ取りを防ぐために使われる可能性がある

残る実務的な疑問

  • この非公式版Signalが メッセージ保存 のために使われているのであれば、公職者がこのアプリでどのレベルの情報を議論しているのかが重要な争点になる
  • 保存されるデータがどのように 安全に処理 されるのかも、確認が必要な点として残っている

1件のコメント

 
GN⁺ 2025-05-04
Hacker News のコメント
  • https://archive.ph/oXYXe

  • 政府機関は以前にも、アーカイブ機能付きの暗号化メッセンジャー版に費用を払ったことがある。2021年に CBP が Wickr に70万ドルを支払っていた。
    こういうものは Signal を支援するのにぴったりの用途に見える。大企業や政府機関がアプリ開発者に直接、カスタムフォークの費用を払えばよいのに、なぜ TeleMessage が金を受け取るのか分からない。Signal Foundation は有料フォークの実装を容易にしていないのだろうか?

    • Signal が政府契約に財政的に依存するようになると、政府がアプリに大きな影響力を持つことになる。このプラットフォームがそういう立場に置かれるのは、あまり良いことには見えない
    • Wickr は AWS の所有で、今は政府・企業向け製品しかない。個人向け版は終了している
    • おそらく作業の90%はコードではなく、コンプライアンスと政府契約の手続きを通過することだろう
    • Signal は本来の使命である、一般大衆のための安全な通信のために、メインアプリの開発へすべてのリソースを使う必要があるのかもしれない
    • NPR CEO の Katherine Maher が Signal Foundation の理事会議長である
  • 「TM SGNL」は TeleMessage という会社のソフトウェアを指しているようだ。この会社は人気メッセンジャーアプリの複製版を作り、それぞれのアプリにアーカイブ機能を追加している

    • 恐ろしい。しかも米国企業ですらない
  • Signal を使いながら海外企業に通信を傍受させるつもりなら、何の意味があるのか分からない。おそらく政府承認アプリのぎこちないユーザー体験ではなく、商用製品の UX が欲しかったのだろうが、代替案が何だったのか知っている人はいる?

    • そもそもこの人たちに少しでも知的能力があると仮定しなければ、ずっと理解しやすくなる。
      Signal は政府用途には承認されているが、非公開の国防総省情報には使えない。「SCIF に来て、そこで詳細を話そう」くらいには Signal を使い、詳細はセキュアな環境で議論すべきだ
    • 伝統的には、非機密情報をやり取りする際には単に一般電話網を使っていた。だが CISA によれば、主要通信事業者の音声・SMSサービスはもはや安全とは見なされていない。
      CISA は代わりにエンドツーエンド暗号化サービスを使うよう勧告し、特に Signal を明示していた。
      https://investigations.cooley.com/2025/01/15/federal-law-enf...
    • 代替案は、スパイウェアが入ったスマートフォンに Signal をインストールしないことだ。これは中間者攻撃的な「傍受」ではなく、Signal がインストールされた個人のスマートフォンを監視して抜き取る方式である。
      Signal も結局はスマートフォン上の1つのアプリにすぎない。秘密通信に使うつもりなら、そのスマートフォンにはソフトウェアを最小限だけ置くか、まったく入れず、パスワードや暗号化など可能なあらゆる方法で保護すべきだ
    • 自分たちが何をしているのかを海外のハンドラーに知らせる必要があったのではないか。契約のどこかに入っているのかもしれない
  • アーカイブのためにセキュリティ脆弱性を受け入れる必要があるのか疑問だ。どうせイスラエルと Pegasus に頼めばアーカイブを受け取れるだろうに

    • 待って、これイスラエル企業だったのか
  • いくつかの詳細を見ると、TeleMessage はイスラエル企業だった、あるいは今もそういう企業だったが [1]、昨年、米国企業の Smarsh [2] に買収され、Smarsh 自体も米国企業 K1 Investment Management の子会社である。会社が移転したのかは分からない。
    直接関係はないかもしれないが、利用規約には中国国内のメッセージングに関する別条項もあり、中国政府への開示が含まれるように見える。アプリがどう動作するのかは不明だ。Signal クライアントのフォークのように宣伝されており、すべての内容をリモートサーバーにアップロードしているように見えるが、そうなると保管庫を1つの受信エンドポイントとみなし、その接続が安全だと考えない限り、当然 エンドツーエンド暗号化は破られる。インターフェースも Signal と同じだと宣伝しているようだ。
    ところが iOS と Android の Signal クライアントはいずれも AGPLv3 である。TeleMessage クライアントがプロプライエタリソフトウェアではないという痕跡は見つけられなかった。だとすると AGPLv3 に従い、有料顧客にだけソフトウェアとソースコードを渡し、顧客は再配布できるようにしているのか。クライアントを完全に再実装したのか。それとも 違法なプロプライエタリ・フォークなのか。1つ目は可能性が低そうで、後ろの2つはアプリのセキュリティ面でかなり不吉だ。
    [1]: https://en.wikipedia.org/wiki/TeleMessage
    [2]: https://en.wikipedia.org/wiki/Smarsh

    • Smarsh はコンプライアンス分野ではかなり大きな会社のようだ。どこかの無名企業ではない。それでも、Signal の目的そのものを無力化する Signal 複製アプリを使うという滑稽さは変わらない。
    • エンドツーエンド暗号化は、あなたが考えている意味とは違う。具体的には、意図された受信者やそのソフトウェアがメッセージをどう扱うかとは関係ない。
    • 会社で働くとき、雇用主が改変した GPL ソフトウェアを提供しても、GPL が適用される意味での配布とは見なされない、と理解していた。だから追加の配布も自由ではない。
      少なくとも GPLv2 は、「私的な」改変は私的なままで、従業員は外部配布とは見なされない、という形で企業寄りだと説明されることがよくあった。AGPL についてはよく知らない。
    • 顧客が再配布できるのであれば違法ではない。特に顧客たちがソースコードを流出させるつもりがまったくないならなおさらで、本当の核心は、そのクライアントを使っていない人が AGPL リレーサーバーに接続したことがあるかどうかだ。
      以前、GPL ソフトウェアを使ったカスタムソフトウェアソリューションを軍関係の顧客、おそらく DOD 向けに販売する会社で働いていた。10年以上誰もコードを要求しなかったが、数年前になってようやく誰かが要求した。おそらく評価しようとしていたのだろうが、複数の業務の中核として使われていたものなので、フォークするには相当苦労したはずだ。動く部品が本当に多かった。
      誰かが TM SGNL サーバーに接触したうえでソースを要求し、拒否されない限り、違法ではない。
    • 「保管庫を1つのエンドポイントとみなし、接続が安全なら」だって? まったく違う。TeleMessage を使っている顧客はかなりいて、その多くはバックエンドに Global Relay を使っている。
      実際、少し怖いのは、Global Relay はすべてを SMTP で受け取ることだ。DNSSEC や MTA-STS を設定しているかは確認していないが、Global Relay の運用方法を見る限り、やっているようには思えない。うまく配置されたプロキシや DNS 汚染だけで、Global Relay に送られる機密性の高いメールをかなり吸い上げられそうだ。
  • アプリはこれのように見える。
    https://www.telemessage.com/how-to-install-and-register-sign...

    • なんてことだ、App Center 配布でインストールするのか。
  • JD が送った「相手からオフになっているとの確認を受けた」というメッセージが何を意味するのか、本当に気になる。

  • ちょっと待って、彼らが使っているのは イスラエル情報機関の将校たちが運営する Signal 複製アプリということなのか?
    この部分はまだ十分に知られていないようだ。その会社の住所を Google Maps で探すと、実際には「Cyberint」という会社が出てくるが、かなりまずそうに見える。
    https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
    さらに悪いのは、会社サイトのチーム紹介を見ると、CEO を含め「元」イスラエル情報機関の将校に見える人物であふれている点だ。
    https://www.telemessage.com/team/
    これは現在知られている話よりもはるかに大きな問題に見える。元の Signalgate より何桁も大きい。ここでの含意は、イスラエル情報機関の将校たちが、いま世界で最も優れたアクセス権、すなわち米国国家安全保障担当補佐官が参加するすべての会話のリアルタイムフィードを持っていた可能性があるということだ。