世界を動かす技術を、日本語で。

DDoSecretsがTeleMessageからハッキングした410GBのヒープダンプを公開

2025年5月20日原文(micahflee.com)

概要

  • TeleMessage のサーバーから 410GB のデータが流出し、DDoSecrets が公開した事案を解説
  • 流出データには個人情報やメッセージが含まれ、研究者や記者のみに提供されている
  • TeleMessage は Signal などの暗号化メッセージアプリをアーカイブするソフトを提供
  • 元国家安全保障顧問 Mike Waltz らの利用実態が発覚し、大きな社会問題に発展
  • サーバー脆弱性や製品の暗号化虚偽も明らかになった経緯を時系列で整理

TeleMessage データ流出事件の経緯と影響

TeleMessage と流出データの概要

  • TeleMessage は、Signal、WhatsApp、Telegram、WeChat などの暗号化メッセージアプリのメッセージを 中央集権的にアーカイブ するソフトウェア企業であることを確認
  • 2025年5月4日にサーバーが ハッキング され、 410GB のデータが流出したことを報告
  • データには 個人情報(PII)平文メッセージメタデータ (送信者、受信者、タイムスタンプ、グループ名)が含まれていることを確認
  • 流出データは ジャーナリストや研究者のみに限定公開 されていることを強調

事件の時系列まとめ

  • 2025年3月 :元国家安全保障顧問 Mike Waltz が Signal グループで戦争犯罪計画を議論し、議会公聴会で問題化することを確認
  • 2025年5月1日 :Waltz が TeleMessage の改造版 Signal「TM SGNL」を使用中に撮影され、Tusli Gabbard、JD Vance、Marco Rubio とのやりとりが可視化されたことを指摘
  • 2025年5月3日 :TM SGNL の ソースコードが GitHub に公開 されたことを報告
  • 2025年5月4日 :TeleMessage の 最初のハッキング発生、404 Media で報道されることを確認
  • 2025年5月5日別のハッカーによる二度目の侵入 が発生、NBC News で報道されることを指摘
  • 2025年5月6日 :TM SGNL のソースコード分析と一部流出データから、 TeleMessage がエンドツーエンド暗号化を虚偽主張 していた証拠が公開されたことを報告
  • 2025年5月18日 :WIRED で TeleMessage サーバーの 脆弱性詳細 が公開され、誰でも「archive.telemessage.com/management/heapdump」にアクセスすれば Java ヒープダンプ(平文チャットログ含む) がダウンロード可能だった事実が判明
  • 2025年5月下旬 :DDoSecrets が 抽出済みテキスト付きのヒープダンプ 410GB 分 を公開し、研究者の分析を促進することを確認

社会的・技術的インパクト

  • TeleMessage のソフトは 2023年2月以降、米連邦政府でも利用 されていたことを確認
  • 元国家安全保障顧問ら 政府高官が機密情報を改造 Signal でやりとり していたことが社会問題化することを指摘
  • TeleMessage の セキュリティ管理のずさんさ暗号化虚偽 が露呈したことを強調
  • DDoSecrets の活動が、 公益性の高い情報公開 として評価されていることを示す

DDoSecrets への支援呼びかけ

  • DDoSecrets は 限られた予算 で活動しており、 寄付による支援 を呼びかけることを提案

この一連の流出事件は、 政府の情報管理メッセンジャーアプリの信頼性サイバーセキュリティの重要性 について再考を促すものであり、今後の動向にも注視する必要があることを提案。

Hackerたちの意見

つまり、彼らのサーバーの一つに/heapdumpエンドポイントがあって、サーバーのヒープダンプを公開してたってこと?この一連の騒動は手に負えないね。でも、このグループは実際には何も「公開」してないよ。記者向けにリクエストフォームを通じてアクセスを提供してるだけだし。実際のメッセージ内容がどれだけあるかは言ってないみたいだけど、410GBのヒープダンプがあるから目を引く数字にはなってるね。

イスラエルのソフトウェア会社って、みんな一流で元モサドとか言われてるんじゃなかったっけ?全然そんな感じしないけど。メッセージダンプが面白いものであることを願ってるよ。

信頼できて安全(しかも無料)のソフトウェアを奪って、あらゆる面でどんどん悪化させていくなんて想像できる?しかもそれにお金を取るなんて?!どっちが恥ずかしいのか分からないよ:その会社でいることか、それともユーザーでいることか。

誰かがJavaアプリを使ってて、誤ってすべてのJMXエンドポイントをHTTP経由で公開しちゃったみたいだね。デフォルトの設定じゃないし、たぶん不注意でやっちゃったんだろう。

ヒープダンプがメモリ内のすべてのバイトのコピーなら、「何千ものヒープダンプ」は410GBよりも大きくなるんじゃない?ざっくり計算すると、410GB/1000ダンプ = 1ダンプあたり410MB?410GB/2000ダンプ = 1ダンプあたり205MB?

データがセンシティブでPIIが含まれているため、DDoSecretsはジャーナリストや研究者とだけ共有しています。普段は責任ある開示を支持してるけど、今回はもっと痛みを伴う、ダメージのあるリークが必要だと思う。まず、独裁者やファシスト、オリガルヒは、ハッキングされてもあまり気にしない。彼らはただこれらのツール(または似たようなもの)を使い続けて、政府が求める正しい手続きを無視するだけだ。影響を受けた国の市民は、リーダーが仕事を正しくできていないことに怒りを感じる必要があるし、それは彼らの行動に結果が伴うときにしか起こらない。彼らの無能さが国を危険にさらして、今や彼らが情報を安全に保てなかったことが明らかになった。彼らは大失敗したんだから、思いっきり失敗させよう。次に、ジャーナリストや研究者はほとんど力を失っている。非民主的な世界では(もうすぐそこだ、もう少し時間を与えて)、ジャーナリストが腐敗や無能を暴露すると、そのジャーナリストや研究者は政府によって黙らされる。ジャーナリストを黙らせれば、誰も何が起こっているか分からなくなって、抑圧が止まらず続く。黙らされる人が増えるほど、社会全体に冷え込み効果が広がる;誰も次は自分になりたくないから。これが権威主義者が権力を得る方法だ。抵抗や結果なしの抑圧は、抑圧を正当化する。もしこれが典型的な企業の無能さについての話で、唯一のリスクが株式や個人データだけなら、責任を持って開示すべきだと言うだろう。でも、独裁を止めることに関しては、手袋を脱がなきゃいけない。彼らは絶対にルールを守らないんだから、こっちも守る必要ない。

影響を受けた国の市民は、リーダーが仕事を正しくできていないことに怒りを感じる必要があるし、それは彼らの行動に結果が伴うときにしか起こらない。この考え方は本当に危険だよ。「アメリカが大好きだけど、アメリカを救うためにはアメリカ人に本当に痛みを感じさせなきゃいけない、そのためには彼らを目覚めさせて、物事がどれだけ悪いかを見せなきゃ」っていう考えに繋がる。人を傷つけて彼らが傷ついていることに気づかせるのは、ほとんどの場合正しい判断じゃない。

完全に同意する。オーストラリアでは内閣リークがあったよね。https://www.abc.net.au/news/2018-01-31/cabinet-files-reveal-... 国営放送局は報道する2つのことを選んで、残りは政府に返しちゃった。このクソを隠す手助けをする行為は、この国の政治の流れを数十年変えた可能性がある。あの内閣には、公共の利益にかなった情報があったはずで、開示が必要だったと思う。Signalgateとかも同じだろうね。どの党に害があろうと関係ない。今起こっていることを考えると、人々はもっと情報を持つべきだと思う。

影響を受けた国の市民は、リーダーたちが仕事をちゃんとやらないことで怒る必要があるけど、それは彼らの行動に結果が伴うときだけ起こる。けど、そのリーダーたちがその結果を感じることはないだろうね。情報提供者やエージェントについてのログに何が書かれているかなんて誰にも分からない。公開したら、彼らは終わりだ。

"ジャーナリストを黙らせる"必要はないよ。多くの人が、真実はソーシャルメディアのランダムな匿名アカウントや、フォローしているカリスマ的な政治インフルエンサーから来ると思い込まされてるから。どんなリークがあっても、「フェイクニュース」と片付けられれば関係ないし、十分な有権者がそれを信じるからね。

「責任ある情報開示の慣行は、私がこれらの人々と政治的に合わないからここでは適用されない!」って言ってるけど、あなたが彼らを「ファシスト」と思ってるのは分かるよ。だけど、国の大多数はそう思ってない。もしあなたの倫理的な意思決定がこの基準に基づいているなら、国の大多数があなたに反対し、あなたを犯罪者として見ることを期待してね。一般的に倫理基準と見なされるものに反するあなたの事後的な正当化は、特に面白いとは思わないよ。あなたが「独裁」と判断するものが、最小限の差別的なハッキングや情報漏洩を可能にするという立場なら、彼女がもし公職に就いたら、同じことをカマブラに対してやられることを期待してね。

初めのTeleMessageの暴露から数週間経ったけど…Signal財団はこのニュースに対して何か反応したの?オープンソースのサードパーティクライアントを非難して、「Signal」という名前をインターオペレーションプロジェクトで使うと商標訴訟を脅かす一方で、防衛請負業者が同じことをしても完全に沈黙してるよね。

Hacker Newsで議論の続きを見る