CISA KEV 警告 25/05/12:TeleMessage の脆弱性 CVE-2025-47729 の登録と Mike Waltz の異動

U.S. CISA adds TeleMessage TM SGNL to its Known Exploited Vulnerabilities catalog

2025/05/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、TeleMessage TM SGNL の脆弱性 CVE-2025-47729 (CVSS:1.9) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA のアドバイザリには、「2025年5月5日までの TeleMessage のアーカイブ・バックエンドには、TM SGNL (別名 Archive Signal) アプリ・ユーザーによる、メッセージの平文コピーが保存されている。それは、TeleMessage の “End-to-End encryption from the mobile phone through to the corporate archive”ドキュメントで説明されている機能とは異なるものであり、2025年5月に実環境での悪用が確認された」と記されている。

先週に、TeleMessage がハッキング被害に遭い、顧客データが盗まれた。イスラエル企業である同社は、Signal や WhatsApp などの人気メッセージ・アプリの改変版を米政府向けに提供している。

404Media は、「盗まれたデータには、同社のSignalクローンを用いて送信された、DM とグループ・チャットの一部の内容および、WhatsApp/Telegram/WeChat の改変版が含まれている。先日に TeleMessage は、トランプ政権下の Mike Waltz 国家安全保障補佐官が、誤って同アプリを内閣会議で使用していたことを明かしたことで、報道機関の注目を集めていた」と報じている。

このセキュリティ侵害が浮き彫りにするのは、特にアプリとアーカイブの間で End-to-End 暗号化が施されていない場合において、人気アプリの改変版に依存するリスクの高さである。404 Media は、このアプリについて、米政府の高官により使用されていたが、閣僚級のメッセージは漏洩しなかったと指摘している。ただし、税関および国境警備局 (CBP:Customs and Border Protection) のデータや、Coinbase などの金融機関のデータは漏洩している。

つい先日にも 404 Media は、「ハッカーたちがアクセスした TeleMessage の管理パネルのスクリーン・ショットには、CBP 職員の名前/電話番号/メールアドレスのリストが表示されていた。そのスクリーン・ショットには、”select 0 of 747” と表示されており、最大で 747人の職員データが含まれていた可能性が示唆されている。さらに、別のスクリーン・ショットには、Coinbase の現職/退社従業員の連絡先に関する情報が表示されていた」と述べている。

すべてのデータが不正アクセスされたわけではないが、わずか20分で攻撃者は TeleMessage を侵害している。特に、Waltz を含む米政府高官が、機密性の高い議論で同ツールを使用していたことから、国家安全保障上の懸念が高まっている。

前述のとおり、米国家安全保障顧問である Waltz が誤って明かしたのは、閣議中に TeleMessage の改変版 Signal を使用していたことである。

The Atlantic は、「TeleMessage が使用されていたという事実が呼び起こしたのは、アプリ内で議論されていた機密情報の種類と、そのデータの保護に関する方式についての疑問である。この問題が浮上したのは、米国の高官たちが Signal を使用して、戦闘作戦について議論していたという事実が判明した後のことだ」と報じている。

TeleMessage
Source 404 Media – A screenshot provided by the hacker.

流出した TeleMessage のデータに含まれていたのは、メッセージの内容/政府の連絡先情報/バックエンドの認証情報/クライアントの痕跡などである。Galaxy Digital や米上院法案の審議に関するチャットを含む、政治や暗号通貨に関する議論が、改変された Signal から送信されたことになる。

ハッカーたちは TeleMessage のデバッグ・データにアクセスし、暗号化されていないライブ・メッセージの断片を取得した。404 Media は、データに記載された CBP 当局者に連絡を取り、論点の正当性を確認した。

404 Media は、「ハッカーたちが侵害したサーバは、バージニア州北部の Amazon AWS のクラウド・インフラにホストされている。改変された TeleMessage の Android 用 Signal アプリのソース・コードを分析した結果、このアプリから送信されるメッセージ・データのディスティネーションが、このエンドポイントであることを確認した。我々は、このサーバーがオンラインであることを確認するため、HTTP リクエスト/レスポンスを送受信した」と述べている。

ジャーナリストの Micah Lee は、TeleMessage の Signal のクローンを分析し、ハードコーディングされた認証情報とライセンスに関する痕跡を発見した。漏洩した URL を経由することで、彼は対象となる Android ソースにアクセスした。その後にも、他の研究者たちが、iOS コードを発見している。このアプリは、Signal のオープンソース利用規約に違反している可能性があるという。その一方で、Signal の不正使用に関与したとされる Waltz は、異動となっている。

拘束力のある運用指令 (BOD) 22-01:米国政府の FCEB 機関は、カタログに記載された欠陥の悪用からネットワークを保護するために、特定された脆弱性に対して、定められた期間で対処する必要がある。CISA は連邦政府機関に対して、2025年6月2日までに、この脆弱性を修正するよう命じている。

さらに、専門家たちは、民間組織においても、このカタログを確認し、インフラの脆弱性に対処することを推奨している。

いつもの CISA KEV 警告に関する記事とは、ちょっと違った視点が加わっていて、なかなか面白い内容になっています。そして、TeleMessage のようなビジネス・モデルが存在していることにも、ちょっと驚きました。Wikipedia では、「2025年5月1日のことだが、メッセージング・プラットフォーム Signal のグループ・チャット漏洩事件を受けて、Mark Waltz は辞任すると報じられた。同日に、トランプ大統領は SNS を通じて、Mark Waltz 米国国連大使に指名する意向を発表した」と説明されています。そして、いつもなら、”この脆弱性が KEV に掲載されました” というページが作成されるのですが、CVE-2025-47729 に関しては、どうしても見つかりません。なにかの、お気遣いモードが発動しているのかもしれませんね。よろしければ、CISA KEV ページを、ご参照ください。