Signal グループチャット内容の漏洩と NSA

no extension

先週の話であるが Signal のグループチャットから国家機密情報が漏洩していたというニュースがあった。

この記事は購読しないと見れないが,私は Bluesky の TL で見かけて知った。

朝起きてトランプ政権に驚かされる事はよくあるけれど、今朝のこれは凄いな。 トランプ政権の重要閣僚がイエメンのフーシ派攻撃計画をシグナルで話し合っており、グループチャットに誤ってThe Atlanticの編集長を招待していたという話。 ゴールドバーグ編集長は最初何かの罠なのか、それともいたずらかと無言で成り行きを見守っていたが、参加者の言動があまりにも「らしい」上に、ユーザーネームが「ピート・ヘグセス」の発言通りにイエメンが爆撃され始めて、重大な国家機密の漏洩に意図せず巻き込まれた事を悟ったと。 1/3 www.theatlantic.com/politics/arc...

[image or embed]

— 鯛猫 (@taineko399.bsky.social) March 25, 2025 at 7:16 AM

笑うのが「誤ってThe Atlanticの編集長を招待」してグループチャットを開始したのが国家安全保障担当補佐官 (US National Security Advisor) の Mike Waltz 氏というところだろうか。 彼は “The Atlantic” の編集長をグループチャットに加えたことを認めておらず

“Of course, I didn’t see this loser in the group. It looked like someone else. Now, whether he did it deliberately or it happened in some other technical mean, is something we’re trying to figure out,” Waltz said, without evidence, on Fox News.

などと語ってるらしい(言いがかり?)。 もちろん “The Atlantic” の編集長は

“I didn’t hack into anyone’s phone,” Goldberg told ABC News Live anchor Kyra Phillips on Wednesday. “Mike Waltz invited me to Signal and then he invited me to a group. I don’t know how to say it more simply than that.”

と反論している。

これに関連して面白かったのが,遡ること2025年2月に NSA (National Security Agency; 国家安全保障局) が自身の職員に対し Signal に脆弱性があると警告していたというニュースだ(これ自体は最初に挙げたニュースの翌日に流された)。

The National Security Agency sent out an operational security special bulletin to its employees in February 2025 warning them of vulnerabilities in using the encrypted messaging application Signal, according to internal NSA documents obtained by CBS News.

[…]

The bulletin warned of Russian professional hacking groups employing phishing scams to gain access to encrypted conversations, bypassing the end-to-end encryption the application uses.

The bulletin also underscored to NSA employees that third-party messaging applications such as Signal and Whatsapp are permitted for certain “unclassified accountability/recall exercises” but not for communicating more sensitive information.

ちなみに「Signal に脆弱性がある」という点について Signal は「それは脆弱性じゃなくて Phishing だろ」と反論している1。 それはともかく,今回は国家安全保障担当補佐官氏の PON だと思うけどな(いや,そんな可愛らしいもんじゃないがw)。

とまぁ,ここまでが前説(なげーよ!)。 ここから Bruce Schneier 先生のエッセイが登場する。

米国に於いて NSA には2つの役割がある。

It’s common knowledge that the NSA’s mission is breaking into and eavesdropping on other countries’ networks. (During President George W. Bush’s administration, the NSA conducted warrantless taps into domestic communications as well—surveillance that several district courts ruled to be illegal before those decisions were later overturned by appeals courts. To this day, many legal experts maintain that the program violated federal privacy protections.) But the organization has a secondary, complementary responsibility: to protect US communications from others who want to spy on them. That is to say: While one part of the NSA is listening into foreign communications, another part is stopping foreigners from doing the same to Americans.

つまり NSA は諜報活動として他国や敵対組織の通信を傍受する必要があり,同時に自国の通信の秘密は(他国や敵対組織から)守る必要がある。 ここで「セキュリティのトレードオフ」が発生するわけだ。

Previously, it might have preferred to keep the flaw quiet and use it to listen to adversaries. Now, if the agency does that, it risks someone else finding the same vulnerability and using it against the US government. And if it was later disclosed that the NSA could have fixed the problem and didn’t, then the results might be catastrophic for the agency.

特に興味深かったのがこの話(ちなみに2024年11月のロイター記事):

WASHINGTON, Nov 13 (Reuters) - China-linked hackers have intercepted surveillance data intended for American law enforcement agencies after breaking in to an unspecified number of telecom companies, U.S. authorities said on Wednesday.

[…]

The announcement confirms the broad outlines of previous media reports, especially those in the Wall Street Journal, that Chinese hackers were feared to have opened a back door into the interception systems used by law enforcement to surveil Americans’ telecommunications.

つまり米国が通信傍受のために仕掛けたバックドアに中国のハッカーがバックドアを開けたんじゃないか? ということらしい。 裏口の裏口とか(笑)

スマートフォンおよびスマートフォン上のアプリについても同じことが言える。 というか,スマートフォンは重要な機密を守るという点において適切なデバイスとは言えない。

The biggest risk of eavesdropping on a Signal conversation comes from the individual phones that the app is running on. While it’s largely unclear whether the US officials involved had downloaded the app onto personal or government-issued phones—although Witkoff suggested on X that the program was on his “personal devices"—smartphones are consumer devices, not at all suitable for classified US government conversations.

米国現政権を見てつくづく思うのは「真正の馬鹿は害悪にしかならない」だが,今回のグループチャット内容の漏洩に関しては,ある意味で朗報だったかもしれない。 何故なら,セキュリティというのはもっとも脆弱なところから崩れていくものであり,セキュリティ管理はそこに基準を合わせる必要があることを再確認できたから。

As long as smartphones are in the pocket of every government official, police officer, judge, CEO, and nuclear power plant operator—and now that they are being used for what the White House now calls calls “sensitive,” if not outright classified conversations among cabinet members—we need them to be as secure as possible. And that means no government-mandated backdoors.

そして NSA は Signal を含むスマホアプリの脆弱性について「黙して語らず」というわけにはいかなくなった。

Other governments, possibly including US allies, will now have much more incentive to break Signal’s security than they did in the past, and more incentive to hack US government smartphones than they did before March 24.

For just the same reason, the US government has urgent incentives to protect them.

というわけで,メッセージング・アプリは米国政府関係者からテロリストまで多くの人に愛される Signal を使いましょう,というお話でした。

ブックマーク

参考文献

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー (著), 井口 耕二 (翻訳)
日経BP 2007-02-15
単行本
4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
評価     

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)


  1. Signal 側はグループチャットへのソーシャル・エンジニアリング(Phishing)に対抗する手段を2025年2月の時点で既に実装している。 NSA 内部に向けた警告はこれに絡む話だったのかもしれない。いずれにしろ NSA 内部で自前でないサービスは使わないだろうけど。ちなみに Signal のコードは AGPLv3 ライセンス下で公開されている。また EFF (Electronic Frontier Foundation) での評価も高く,かつてあった “Secure Messaging Scorecard” でも満点のスコアを叩き出したほか,今でも “Surveillance Self-Defense” に “How to: Use Signal” のページがある。 ↩︎