- ハッカー集団 DDoSecrets が、イスラエル企業 TeleMessage からハッキングして入手した 410GBのヒープダンプ データを公開
- TeleMessage は Signal, WhatsApp, Telegram, WeChat の改変版を開発し、メッセージ保存サービスを提供
- このデータには 平文メッセージ、メタデータ、個人情報 が含まれており、報道機関と研究者に限定して配布
- TeleMessage 製品は エンドツーエンド暗号化 をサポートすると主張していたが、実際にはこれを迂回する構造であることが判明
- 米国政府と政府関係者が セキュリティ上脆弱なチャネル で機密性の高い情報を共有していた状況も明らかに
概要
- 2025年5月、ハッカー集団 DDoSecrets がイスラエル企業 TeleMessage から取得した 410GBのヒープダンプ データを公開
- TeleMessage は Signal, WhatsApp, Telegram, WeChat など主要メッセンジャー向けの中央保存(アーカイブ)ソリューションを提供する企業
- このデータには機密情報と 個人識別情報(PII) が多数含まれているため、ジャーナリストおよび研究者に限定 して配布
事件の要約タイムライン
- 3月: トランプ政権時代の 国家安全保障補佐官 Mike Waltz が Signal グループ で戦争犯罪に関する会話をしていた際、誤って記者を招待。関連内容が報じられ、議会公聴会 が開かれる
- 5月1日: Waltz が更迭同然の降格を受けた日、TeleMessage が作成した TM SGNL という Signal 改変版を使用している様子が確認される。会話相手には Tulsi Gabbard、JD Vance、Marco Rubio などの高官が含まれていた
- 5月3日: TM SGNL の ソースコード が GitHub を通じて公開
- 5月4日: TeleMessage へのハッキング が発生し、関連事実が報道される
- 5月5日: 別のハッカーが TeleMessage を再びハッキングし、サービスが停止
- 5月6日: TM SGNL ソースコードの分析結果、TeleMessage が主張していた エンドツーエンド暗号化 が実際には適用されていないことが証明される。ハッキングデータの一部から 平文チャットログ も確認される
- 5月18日: 追加分析で TeleMessage のアーカイブサーバーの脆弱性が公開される。特定の URL (
archive.telemessage.com/management/heapdump) に誰でもアクセスして Java ヒープダンプ をダウンロードできた
今回の流出の詳細
- 公開されたヒープダンプは 2025年5月4日 に確保されたもので、TeleMessage が提供するセキュアメッセージングソリューションの脆弱性に起因
- この製品は米国政府を含む複数の組織で 2023年から使用されていたことが確認されている
- データには 平文メッセージ、送信者/受信者情報、タイムスタンプ、グループ名 など豊富な メタデータ が含まれる
- DDoSecrets は研究目的で必要な情報を 抽出・整形 して提供中
影響と示唆
- 今回の事件により、メッセージングソリューションの信頼性欠如 と 運用の杜撰さ が浮き彫りになった
- TeleMessage が 宣伝していたセキュリティ水準と実際の動作の不一致 が確認された
- 米国政府の高官らが 脆弱なクローンメッセージングアプリ を通じて機密情報をやり取りしていた事実が明らかになり、深刻なセキュリティ問題 が改めて注目された
- SignalGate と呼ばれる今回の事態は現在も進行中であり、セキュリティコミュニティによる追加分析と対応が続く見通し
1件のコメント
Hacker Newsの意見
あるサーバーに
/heapdumpエンドポイントがあり、公開状態でサーバーのheap dumpを提供していた状況だったと言及し、今回の事件は手のつけられないほど大きくなった感じがあると述べている。このグループが本当にデータを「公開」したわけではなく、記者が申請書を提出しなければアクセスできないこと、実際のメッセージ内容がどれほどあるのかを明かさず、単に410GBのdumpがあるという数字だけを強調したことで、さらに話題になったと指摘している信頼性の低いソフトウェアをさらにひどくし、そのうえ有料化までしている状況を想像してみろと言っている。会社側としても利用者側としても恥ずかしい話だと思う
heap dumpの実データがどれほどあるのかを明かさず、410GBという数字だけに触れている点が重要なポイントだと思う。自分は最近似たような大容量dumpを確認したが、実際にはOSパッケージ更新キャッシュとログばかりで、重要なデータはまったくなかった。heap dumpのサイズは簡単に減らせるのに、そのまま全部出しているのは何か怪しく感じる。もちろん、512GB dumpの中からすでに重要データだけを選別している可能性もあると思う
イスラエルのソフトウェア企業の多くは優秀な元モサド出身者だという認識が広くあるが、実際は期待ほどではないと思う。今回のメッセージdumpに興味深い内容が多いことを期待している
誰かがJavaアプリケーションを使っていて、誤ってJMXエンドポイントをすべてHTTPで公開してしまったような状況に見える。これはデフォルト設定ではないので、単純な不注意によるミスだと思う
これはサーバーのheap dumpなのか、クライアント向けのheap dumpなのか気になる。もしクライアントがクラッシュしたときにログを残す用途として意図されていた可能性もありそうだ
TeleMessage CEOのLinkedIn紹介文が、AIが雑に自動生成した文章のように感じる。戦略的イノベーション、倫理的価値、SaaS、M&A、業界リーダーシップなど、決まり文句だけで埋め尽くされている
本当にひどいLinkedIn風の文章だと思う
要するに「私はCEOだ。うちの会社はSaaSだ。私はCEOだ」と繰り返している感じだ
TeleMessage事件が公になってから数週間たつが、Signal Foundationが公式見解を出したのか気になる。Signalという名前を使ってオープンソースのサードパーティクライアントが出ると商標訴訟を警告するのに、防衛産業の企業が同じ名前を使っても沈黙しているという二重基準に疑問を感じる
現在のアメリカ社会で多くの組織が静かにしているのは、政府からの攻撃を恐れているからだという見方がある。一方で、Signal Foundationの中心だったMoxieがすでに組織を離れ、存在感が薄れたあと、今の組織が何を目指しているのか不明確になったと思う
今回の件でSignalには何の落ち度もないと思う。むしろTeleMessageと、それを選んで使った責任者たちの問題だ。Signalが何か言ったところで非難されるだけで意味はないと判断する
昔SignalのFOSSフォークが法的警告を受けたように、今もMollyが運営されているのか、あるいは全体としてセルフホスト可能なサーバーがあるのか気になる
moxieとfdroidの対立には不満があるが、今回の事件はそれ以上に国家権力と不正の問題であり、単なる一個人や一企業の問題を超える重要な事案だと思う。もし他国の政府が、名前も聞いたことのない海外ソフトウェアを国家の通信手段として使っていたら、無能だと非難していたのではないかと付け加えている
名前とブランドを守る必要性には同意する。オープンソースをフォークしても原作者のブランドや名前を勝手に使えないのは当然だと説明している。FirefoxやVSCodeのオープンソース版をフォークしても、商標のため複製物に元の名前は付けられない点を強調している
Signalフォークがひどい出来だったとしても、とにかく合法ではあったのに、この会社がクラックされたWhatsAppの販売までしていたというのは本当に衝撃的だ。実際にこうした製品を購入した顧客が機関や政府だというのも信じがたい。リンクも添付している
なぜこれが違法なのか気になる。Beeperの事例と違って、米司法省はむしろ私設クライアントの禁止を好意的には見ていない場合もあるとして、WhatsAppは違うのかと質問している。WhatsApp archiverは実際にはユーザーのWhatsAppにパッチを入れる方式に見え、セキュリティ上の問題はあるだろうが違法ではないという立場だ
実際のグローバル金融市場では、Global RelayとTeleMessageがコンプライアンス目的のコミュニケーションソリューションの主要ベンダーだという経験を共有している
自分の会社ははるかに重要性の低い業務だが、それでも年に2回、外部から侵入テストを受けている。どうしてこれほど無責任なミスが合法的にあり得るのか疑問だ
その理由は、ソフトウェアエンジニアリングが本当のエンジニアリングとして真剣に扱われていないからだと思う。たとえば事故が起きた場合に伴う責任自体が限定的だ
実際には合法ではなかったようだと判断している。SOC2も偽造していた形跡があると聞いた
Heapdumpは15年前にAndroidアプリをデバッグしていたときに知った用語だ。javaプロセスのメモリスナップショットなのでplaintextが入っていて当然だ。重要なのは、なぜそんなheapがオープンなHTTPエンドポイントとして公開されていたのかという点だ。おそらくクライアントコードにハードコードされていたか、リクエストパターンを見て分かったのだろうと推測している。バックエンド構造やメッセージ保存方式はこの情報だけでは分かりにくいが、自分だけ何か見落としているのかと自問している本番環境で認証なしの
/heapdumpエンドポイントを公開するのは初心者レベルのミスだと思う。機密性の高い政府通信を扱うサービスではなおさら深刻だ。MD5ハッシュやJSPのような古い技術が使われていた点も、セキュリティへの理解不足を示している。この事件は、防御的セキュリティと定期監査が必須である理由を示す典型例だ議員たちがしばしばe2e暗号化を禁止したりバックドアを要求したりするとき、今回の事件は良い現実の事例として使えると思う
データが機密性が高くPIIも多いため、DDoSecretsが記者と研究者にだけ共有している点について、自分は普段は責任ある公開に賛成だが、今回はもっと痛みを伴う致命的な流出が必要かもしれないと思う。独裁者やオリガルヒはハッキングされてもあまり気にせず、同じようなツールを使い続けるだろうし、被害を受ける市民だけが怒ってこそ変化が生まれる。セキュリティ失敗によって国民の知性が十分に守られていない状況だ。報道機関や研究者が報じようとしても、権威主義的な社会では簡単に黙らされ、誰も実態を知らない状態が作られる。権力者は抵抗も結果も受けずに弾圧を正当化し続けられる。単なる企業のセキュリティ事故なら責任ある公開を望むが、独裁を防ぐためには話が違うと思う
今は記者をわざわざ黙らせる必要すらない。すでに多くの人が匿名SNSアカウントや政治インフルエンサーを情報源として信じているので、何か暴露されても「フェイクニュースだ」と言って適当に流され、十分な数の有権者がだまされれば大した意味がなくなる
不適切な統治を国民に気づかせるために被害を受け入れるべきだという考えは危険だと感じる。こうした考えが極端に進めば、かえってより大きな暴力や苦痛を正当化する結果につながりかねない。一般に、人々はもっと大きな痛みを受けて初めて目覚めるべきだという発想に進むと危険だと警告している
実際に公開された場合、その被害は指導者ではなく内部情報提供者に及ぶかもしれない。たとえばログ内にスパイなどの機密情報があれば、命が危険にさらされる可能性があると警告している
過去のオーストラリアのCabinet流出事件に触れ、放送局が情報の大半を政府に返却する形で隠蔽に加担したと説明している。そうしたやり方は、むしろ国民が知るべき重要な事実を隠し、政治的影響を大きくしたはずで、今回のSignalgateも同様だと思う。政党に関係なく、国民がより多くの情報を知る権利が重要だと強調している
政治家たちが通信ソフトウェアにバックドアを入れようとロビー活動しながら、自分たちが同じようなハッキングを受けている様子は滑稽だと感じる。残念ながら、彼らにはこの一連の出来事が何を意味するのかを正しく理解したり共感したりする能力がないように見える