専門家は、Telegramの「30人のエンジニア」チームがセキュリティ上の注意を喚起していると述べています
週末に、Telegramの創設者であるパベル・ドゥロフ氏との最近のインタビューからのクリップがX(以前はTwitter)でセミバイラルとなりました。動画では、ドゥロフ氏が右翼のパーソナリティ、タッカー・カールソン氏に会社で唯一のプロダクトマネージャーであり、「約30人のエンジニア」しか雇っていないと語っています。
セキュリティ専門家は、ドゥロフ氏が自らが所在地のドバイに拠点を置く会社が「非常に効率的である」と自慢していたが、実際にはユーザーにとって警告のサインであると述べています。
「エンドツーエンドの暗号化のない大量の脆弱なターゲットや、UAEにあるサーバー?それはセキュリティの悪夢であるように思えます」と、ジョンズ・ホプキンス大学の暗号学の専門家であるマシュー・グリーン氏はTechCrunchに語りました。
グリーン氏は、TelegramのチャットはデフォルトでSignalやWhatsAppのようにエンドツーエンドで暗号化されていないことに触れています。Telegramのユーザーは「シークレットチャット」を始める必要があり、エンドツーエンドの暗号化をオンにすることで、メッセージはTelegramや意図しない受信者以外には読めなくなります。また、多くの人々が、ドゥロフ氏の兄が作成した独自の暗号化アルゴリズムを使っていると述べたように、多くの人々がTelegramの暗号化の品質に疑念を抱いてきました。
セキュリティ専門家であり、リスクを冒しているユーザーのセキュリティに長年携わっている電子フロンティア財団のサイバーセキュリティディレクターであるエヴァ・ガルペリン氏は、Signalとは異なり、Telegramが単なるメッセージアプリでないことを覚えておくことが重要であると述べています。
「Telegramが異なる(そしてはるかに悪い!)点は、Telegramが単なるメッセージアプリではなく、ソーシャルメディアプラットフォームであることです。ソーシャルメディアプラットフォームとして、膨大なユーザーデータを抱えています。実際、[エンドツーエンド]で暗号化されていない1対1のメッセージ以外のすべての通信の内容が蓄積されています」とガルペリン氏はTechCrunchに語りました。 「'30人のエンジニア'ということは、法的要求への対応者がいないこと、乱用やコンテンツモデレーションの問題に対処するインフラがないことを意味します」。
「そして、それら30人のエンジニアの質はそんなに良くないとさえ言えます」とガルペリンは続けます。「さらに、私が脅威行為者であれば、間違いなくこれは励みとなるニュースだと考えるでしょう。あらゆる攻撃者は、非常に少ないスタッフで過労の相手となることを好むでしょう」。
言い換えれば、そんなに少ないスタッフであれば、特に政府支援の脅威行為者と戦うには、Telegramが非常に効果的ではないでしょう。
Telegramは、チーフセキュリティオフィサーを抱えているか、プラットフォームを保護するために何人のエンジニアがフルタイムで働いているかについての質問が含まれていたコメント要求に回答していませんでした。
先週、知名度の高いサイバーセキュリティ専門家であるSwiftOnSecurityは、Xに次のように書いています。「すべての適切なサイバーセキュリティツールとスタッフを持つ会社を運営するコストは、絶対に途方もないです」。
「私が見た数値を説明するのは難しいです。これを言うことさえグレーゾーンです。しかし、信じられないほどのヘッドカウントと支出がかかっています」とSwiftOnSecurityは書いています。
つまり、たとえ世界中の最大の企業であっても、おそらく自身を保護するために十分なお金や時間、エネルギーを使っていないでしょう。Durov氏によれば、Telegramのユーザー数は10億人近くに達しています。それは、暗号通貨で働く人々、過激派、ハッカーやデマを拡散する人々にとって最も人気のあるプラットフォームの1つです。
それは犯罪者や政府のハッカーにとって非常に興味深い標的であり、最大でもセキュリティに専念する人間がほんのわずかしかいません。
数年前から、セキュリティ専門家は、Telegramを本当に安全なメッセージアプリとして見るべきではないと警告してきました。最近Durov氏が述べたことを考えると、専門家たちが考えていた以上に状況が悪いかもしれません。