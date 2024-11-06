2013年8月のローンチ以来、Telegramはプライバシー重視のユーザーにとって頼りになるメッセージング・アプリになりました。アプリの使用を開始するには、ユーザーは実際の電話番号またはフラグメント・ブロックチェーン・マーケットプレイスから購入した匿名の番号のいずれかを使用して登録できます。後者の場合、Telegramをユーザーの実際の電話番号やその他の個人情報（PII）にリンクすることはできません。
Telegramは、ハンズオフのモデレーションポリシーの点でも長い間知られていました。このプラットフォームは、FAQの中で、プライベート・チャットのモダナイゼーションは完全に禁止されていると明示的に記載しています。コンテンツのモダナイゼーションは代わりにユーザー主導であり、違法行為の報告は主にユーザー自身に任せられていました。対照的に、WhatsAppなどの同業他社の多くは、コンテンツの管理や法執行機関との協力に多額の投資を行っています。
これらの特徴から、Telegramはサイバー犯罪やその他の違法行為に最適なアプリにもなっています。これには、マルウェアの配布、違法な商品やサービスの販売、仲間の募集、サイバー攻撃の調整などが含まれます。より組織化されたサイバー犯罪グループにとって、Telegramは、合法的な組織が主流のチャネルで行うのとほぼ同じ方法で、運用上のインテリジェンスを共有し、違法なビジネスを拡大するためのハブとなります。
しかし、2024年8月24日にCEOのPavel Durovがフランスで逮捕された後、Telegramのユーザープライバシーとコンテンツ管理に対するアプローチは大きく変わりました。同社はその後の数週間でFAQページとプライバシーポリシーを静かに変更しました。Telegram社のスポークスパーソンであるRemy Vaughn氏によると、アプリのソースコードは変更されていませんが、ユーザーは違法行為を報告して、自動削除や手動モダナイゼーションを行うことができるようになりました。さらに、Telegram社はプライバシー・ポリシーも更新し、有効な裁判所命令を受けた場合、ユーザーの電話番号とIP所在地を開示すると記載しました。
これらの変化は、法執行機関にとって正しい方向への一歩であると言えますが、SignalやSessionなどの他のプラットフォームへのサイバー犯罪活動の移行を促進することにもなっています。Bl00dyランサムウェア集団として知られるあるサイバー犯罪シンジケートは、会社のポリシー変更の直接的な結果として、Telegramモデルの開発を中止することを公に宣言しました。多くのハクティビスト・グループもそれに追随し、統制された体制における発言の自由をTelegramに頼る合法的なユーザーも同様です。
残念ながら、そのような政策の転換は、違法行為の単なる移動と見なされる可能性もあり、サイバー犯罪はますます幅広いプラットフォームに分散していくことになります。これにより、法執行機関やサイバーセキュリティーアナリストが脅威アクターを追跡して妨害することがより困難になる可能性があります。例えば、レッド・チームがこれらの地下コミュニティーにアクセスして、実際の損害を引き起こす前に脅威を特定して軽減するのは困難な場合があります。
Telegramは長年にわたって脅威インテリジェンスの豊富なソースであり、多くの公開チャネルがサイバー犯罪活動を組織化するために使用されています。プライベート・チャットの大部分は、脅威アナリストや法執行機関にとって完全に禁止されていますが、より厳格なモデレーション・ポリシーがパブリック・チャネルにも適用されており、犯罪者の捜査を容易にしている可能性があります。しかし、それが原則では悪いことであると主張する人はほとんどいないものの、注意事項もあります。犯罪者は単に他の場所に移動する可能性があるということです。
おそらくさらに懸念されるのは、サイバー犯罪者とハクティビストの両方を国家が支援するサイバー犯罪やサイバースパイ活動の手に巻き込む可能性が高まることです。これにより、脅威アクターが、Telegramよりもさらに監視が少ない、エンドツーエンド暗号化された分散型プラットフォームを利用する可能性が高まります。これにより、攻撃のシミュレーションやこれらのコミュニティーの監視を任務としたレッドチームの取り組みが複雑になり、脅威を早期に検知する能力が低下する可能性があります。
上記のいずれも、Telegramからサイバー犯罪活動が大量に排除されることを必ずしも意味するものではありません。Telegram社自身のデータによると、月間約9億人のユーザーを獲得しており、マルウェアのような大規模なサイバー犯罪者が攻撃範囲を拡大する必要がある大規模なオーディエンスを抱えていることがわかりました。
また、新規ユーザーはFragmentブロックチェーンから購入した番号を使用して匿名でサインアップすることができ、その場合、法執行機関からのユーザーの電話番号の要求に応じるというTelegramの約束は無関係になります。とはいえ、TelegramはIPアドレスを共有できるため、今後もユーザーのアクティビティーを追跡するために使用される可能性があります。
すべてのセキュリティー・リーダーがよく認識しているように、サイバー犯罪行為がプラットフォーム間でより細分化されるにつれて、脅威の状況は常に変化し、より複雑になっています。多くの脅威監視ツールや戦略は対応に苦慮しており、その結果、Telegram以外のプラットフォームへの対応は限定的、もしくは全く対応できていません。分散型でオープンソースのプラットフォームが増え続けることで、脅威ハンティングや分析はさらに複雑化するだけでしょう。さらに、敵対する国家は、サイバースパイ活動や国家が支援するサイバー犯罪のための独自のプラットフォームを開発しています。
すべてのプラットフォームにまたがり、複数のデータ・ポイントを通じて脅威の属性を優先順位付けできるサイバーセキュリティーに対して、積極的な姿勢を取ることがこれまで以上に重要になっています。つまり、人間の専門知識と高度な脅威分析ツールを組み合わせて、他の方法では隠されたままになる可能性のあるチャネルからインテリジェンスにアクセスすることを意味します。
AI搭載の脅威インテリジェンスは、有能なセキュリティー・アナリストの専門知識と洞察を強力に強化します。たとえば、スタイロメトリー（言語的特徴を分析して、ユーザーの文体に基づく固有のプロファイルを作成する手法）は、使用しているプラットフォームに関係なく、サイバー犯罪者の特定や内部脅威の検出に役立ちます。AIは、人間のアナリストだけでは取り組み不可能な規模での実現を可能にしています。
サイバー犯罪者が他のプラットフォームに移行するケースが増えても、彼らの行動は依然としてさまざまなパターンを暴露する可能性があります。特定の投稿のタイミングや対話のスタイルなどのアクティビティーを追跡する機能により、アナリストはプラットフォーム間でオペレーションや個人を結び付けるのに役立つ包括的なプロファイルを構築できます。
取引メタデータや暗号通貨の取引履歴などのデータ・ポイントを追跡することは、不可能ではないにせよ、ますます困難になる一方、AI搭載の行動分析ツールは、人間のアナリストが脅威アクターとその攻撃ベクトルを特定するのに役立ち、ギャップを埋めるのに役立ちます。サイバー犯罪活動がプラットフォーム全体に散在し、セキュリティー・アナリストが次世代のサイバー脅威の可視性を維持しようと奮闘する中、これはますます重要になります。