Telegram のエクスプロイトに $4 million:ロシアのブローカー Operation Zero が提示

Zero-day broker Operation Zero offers up to $4 million for Telegram exploits

2025/03/22 SecurityAffairs — ロシアのゼロデイ・ブローカーである Operation Zero が、Telegram のエクスプロイトに対して、最大で $4 million の報酬を提示しているというニュースが、Tech Crunch により報じられた。このロシアの企業は、ワンクリック RCE に $500K/ゼロクリック RCE に $1.5M/デバイス全体を侵害するフルチェーン・エクスプロイトに $4 million を示している。この Operation Zero は、ロシア政府と国内の企業に対してのみ、エクスプロイトを販売している。

Operation Zero のようなゼロデイ・ブローカーは、いくつかの理由により、Telegram のエクスプロイトに数百万ドルを支払うのだろう:

  • 政府/諜報機関の需要:Telegram は、ジャーナリスト/活動家/反体制派/政治家などの安全な通信のために広く使用されている。ロシアの諜報機関は、これらのエクスプロイトを監視やスパイ活動の目的で使用できる。
  • 戦略的サイバー戦争:地政学的な紛争においては、Telegram のアカウントとデバイスへのアクセスにより、機密通信の傍受や情報提供者の特定などの、軍事/諜報上の利点が生じる可能性がある。
  • 法執行とサイバー犯罪対策:ロシア当局には、Telegram を使用する犯罪組織/反政府グループ/外国団体の監視を試みる場合がある。Telegram からの協力を得ることなく、それらへのアクセスが達成されると、きわめて大きな価値が長じる可能性がある。

Telegram における End-to-End の暗号化と広範な使用を考えると、そのセキュリティを回避するエクスプロイトは、サイバースパイ活動にとって大変革をもたらす可能性がある。

2024年9月の時点で、ウクライナの NCCC (National Coordination Centre for Cybersecurity) は、国家安全保障上の懸念から、政府/軍隊/重要インフラにおける Telegram メッセージング・アプリの使用を禁止した。ただし、この禁止は、ウクライナの一般国民には影響を及ぼさない。

具体的に言うと、2024年9月19日にウクライナ政府は、国家の安全保障に対する脅威に関する会議で、Telegram の禁止を発表した。ロシアとの間で紛争が進行している中で、この人気のメッセージング・アプリがもたらす脅威を払拭しようとしている。

ウクライナの Chief of Defence Intelligence である Kyrylo Budanov は、同国の組織に対するロシア情報機関のスパイ活動により、Telegram ユーザーのデータへのアクセスが生じるが、その対象には、削除されたメッセージも含まれるという。

Kyrylo Budanov は、「ロシアの特殊機関が、Telegram ユーザーの個人的な通信内容/削除されたメッセージ/個人情報などにアクセスできるという、実際の証拠を提示した。私は、常に言論の自由を支持してきたが、Telegram の問題は言論の自由の問題ではなく、国家安全保障の問題だ」と述べている。

ウクライナの保安局と軍参謀本部の代表は、ロシア由来の脅威アクターたちが、サイバー攻撃/フィッシング/マルウェア展開/ユーザー位置情報の特定、ミサイル攻撃の調整などに、Telegram を積極的に利用していると警告している。

当局は、「これらの脅威を最小限に抑えるために、政府関係者/軍人/安全保障/防衛部門などに携わる個人のデバイスおよび、重要インフラ企業の公式デバイスでの、 Telegram のインストールと使用を禁止することを決定した。唯一の例外は、このメッセンジャーの使用が、公務の一部である人々となる」と述べている。

軍や政府のデバイスで Telegram は禁止されているが、ウクライナの一般ユーザーは、進行中の紛争に関する通信やニュースの受信において、Telegram に大きく依存している。

メッセージング・アプリやモバイル・デバイスの、セキュリティ・レベルが向上し、それらのハッキングが困難になるにつれて、ゼロデイの価格が上昇している。

Operation Zero が Telegram のエクスプロイトに対して破格の報奨金を提示しているとのことですが、その利用目的と背景を考えると合点がいきます。Operation Zero については、2023/09/27 の「ロシアの Operation Zero:iPhone/Android ゼロデイに $20M を提示」という記事でも取り上げています。この記事ではウクライナについては触れられていませんでしたが、今になってその文脈がつながり始めている印象を受けます。よろしければ、Telegram で検索と併せて、ご利用下さい。