先週末、Telegramの創設者パベル・ドゥーロフ氏との最近のインタビューからのクリップがX(以前はTwitter)で半ばバイラルになりました。ビデオでは、ドゥーロフ氏が右派の人物タッカー・カールソン氏に会社で唯一の製品マネージャーであり、約30人のエンジニアしか雇っていないと語っています。
セキュリティ専門家は、ドゥーロフ氏が自身のドバイ拠点の会社が「非常に効率的」であることを自慢していたが、実際にはユーザーにとって危険な兆候であると述べました。
「エンドツーエンドの暗号化がない、膨大な数の脆弱なターゲット、UAEにサーバーがある?セキュリティ上の悪夢になる可能性がありますね」と、ジョンズ・ホプキンス大学の暗号専門家であるマシュー・グリーン氏はTechCrunchに語りました。
グリーン氏は、Telegramのチャットがデフォルトでエンドツーエンドで暗号化されていないことに言及していました。Telegramでは、SignalやWhatsAppのようにチャットをエンドツーエンドで暗号化するためには、「シークレットチャット」を開始する必要があり、これによりメッセージはTelegramや意図された受信者以外の誰にも読めなくなります。また、多くの人々がTelegramの暗号化の質を疑問視してきたこともあり、会社がドゥーロフ氏がカールソン氏との拡張バージョンで述べたように、独自の暗号化アルゴリズムを使用していることもあわせて指摘されています。
電子フロンティア財団のサイバーセキュリティディレクターであり、危険にさらされているユーザーのセキュリティについての古参の専門家であるエヴァ・ガルペリン氏は、Signalとは異なり、Telegramが単なるメッセージングアプリ以上のものであることを忘れてはいけないと述べました。
「Telegramを特徴づけるもの(そしてはるかに悪い!)は、Telegramが単なるメッセージングアプリでなく、ソーシャルメディアプラットフォームでもあることです。ソーシャルメディアプラットフォームとして、膨大なユーザーデータを保持しています。実際、エンドツーエンドで暗号化されていない一対一のメッセージでないすべての通信内容を保持しています」とガルペリン氏はTechCrunchに語りました。「'30人のエンジニア'ということは、法的要求に対抗する人がいない、悪用やコンテンツモデレーションの問題に対処するインフラがないということです。」
「そして、私は30人のエンジニアのクオリティがそれほど良くないとさえ言いたいと思います」とガルペリン氏は続けました。「さらに、私が脅威行為者だったら、これは励ましのニュースと考えているはずです。どの攻撃者も、非常にスタッフ不足で過労の相手を大いに歓迎するからです。」
要するに、そんな少数のスタッフでは、Telegramはハッカーと戦うのが非常に効果的であるとは思えません、特にバックアップされた政府系のハッカーと。"
Telegramは、チーフセキュリティオフィサーを持っているかどうか、そしてプラットフォームを保護するために何人のエンジニアがフルタイムで働いているかについて質問したリクエストには応じませんでした。
先週、有名なサイバーセキュリティ専門家のSwiftOnSecurityがXに書いた「すべての適切なサイバーセキュリティツールとスタッフを持つ会社を運営するコストはまったくとんでもないものだ。」と述べた。
「私が見てきた数字を説明するのは難しい。これを言うのも微妙な領域です。しかし、それは信じられないほどの人員数と支出です。」とSwiftOnSecurityは書きました。
最終的に、世界中の最も大きな企業でさえ、自己保護に十分なお金、時間、エネルギーをかけていない可能性が高いです。Durovによると、Telegramは10億人以上のユーザーを持っています。Durov氏によれば、暗号を使用して数百万ドルを移動する仕事をする人々、過激派、ハッカー、ディスインフォメーション配信業者向けの最も人気のあるプラットフォームの1つです。
これは、犯罪者と政府のハッカーの両方にとって非常に興味深い標的であり、サイバーセキュリティに専念している人はほんのわずかです。
数年間、セキュリティ専門家は、Telegramを本当にセキュアなメッセージングアプリと見なすべきではないと警告してきました。最近Durovが言ったことを考えると、専門家が思っていたよりもさらに悪い可能性があります。
