
Telegramは本当に暗号化アプリですか?
TechFlow厳選深潮セレクト

Telegramは本当に暗号化アプリですか?
世界政府は彼らを政治的計画の盾として利用している。
執筆:Matthew Green
翻訳:Block unicorn

著者について、Matthew Greenは暗号学者であり、ジョンズ・ホプキンス大学の教授です。私は無線ネットワーク、決済システム、デジタルコンテンツ保護プラットフォームで使用される暗号システムの設計と分析を行っています。研究では、暗号技術を用いてユーザーのプライバシーを保護するさまざまな方法を検討しています。
本稿の着想は、TelegramのCEOであるPavel Durovがコンテンツの適切な管理に失敗したとしてフランス当局に逮捕されたという最近の憂慮すべきニュースから生まれました。具体的な状況については把握していませんが、刑事告訴を利用してソーシャルメディア企業を脅迫することは極めて懸念される事態のエスカレートであり、事態は表面的に見える以上に単純ではないようです。
しかし、今日はこの逮捕事件そのものについて語るつもりはありません。
私が話したいのは報道の中のある特定の詳細、特に、この逮捕に関するほぼすべての報道記事がTelegramを「暗号化アプリ」と呼んでいる点です。以下にいくつか例を示します:

このような表現には非常に苛立ちます。なぜなら、非常に限定的な技術的観点からは間違っていないものの、重要なあらゆる側面において、Telegramに対する認識および実際の動作方法について人々を基本的に誤解させているからです。この誤解はジャーナリストやTelegramのユーザー、特に深刻な被害を受ける可能性のあるユーザーにとって有害です。
それでは、詳細に入りましょう。
Telegramには本当に暗号化があるのか?
多くのシステムは何かしらの形で暗号化を使用していますが、現代のプライベートメッセージサービスの文脈で「暗号化」という言葉を使う場合、通常は非常に明確な意味を持ちます。それは、ユーザーのメッセージ内容を保護するために、デフォルトでエンドツーエンド暗号化(E2EE)が使用されることを指します。業界標準の方法で実装されている場合、この機能により、各メッセージは通信当事者のみが知る暗号鍵で暗号化され、サービス運営者はその鍵を知ることができません。
ユーザーの視点から言えば、「暗号化されたメッセージアプリ」とは、会話を開始するたびに、あなたのメッセージが相手だけに読まれることを意味します。メッセージサービスの運営者がメッセージ内容を閲覧しようとしても、そこには役に立たない暗号化されたデータしか見えません。 同様の保証は、プロバイダーのサーバーにハッキングする者や、捜査機関がプロバイダーに差押え令状を提出する場合にも適用されます。それが良いことか悪いことかは別として。
Telegramはこうしたより厳格な定義には明らかに該当しません。理由は単純です。エンドツーエンド暗号化がデフォルトで有効になっていないからです。 Telegramでエンドツーエンド暗号化を使いたい場合は、個々のプライベート対話ごとに「秘密チャット」と呼ばれるオプション機能を手動で有効にする必要があります。この機能は大多数の対話では明示的に有効化されておらず、1対1の会話にのみ適用可能で、3人以上のグループチャットでは絶対に使用されません。
奇妙な「追加機能」として、非専門ユーザーにとっては実際にTelegramのエンドツーエンド暗号化を有効にするのが非常に面倒です。
まず、Telegramの暗号化機能を起動するボタンは、メインの会話ウィンドウやホーム画面では表示されません。iOSアプリで見つけるには少なくとも4回クリックが必要です――ユーザーのプロフィールページへ移動し、「…」ボタンを押して隠れたメニューを表示させ、最後に「秘密チャットを開始」することを確認します。それでもまだ実際に暗号化された会話を開始できません。なぜなら、Telegramの「秘密チャット」機能は、相手がオンラインの場合にのみ機能するからです。

最新のTelegram iOSアプリで友人のMichaelとの「秘密チャット」を始めるには、通常のチャット画面から直接選択できません。これを有効にするには4回のタップが必要です:
(1)Michaelのプロフィールページへ移動(左図)、
(2)「…」ボタンを押して隠れたオプションメニューを表示(中図)、
(3)「秘密チャットを開始」を選択、
(4)「本当に続けますか?」という確認ダイアログで「OK」をタップ。これでもまだMichaelにメッセージを送信できません。Telegramの秘密チャット機能は相手もオンラインでなければ有効にならないためです。
これは、現代の業界標準の暗号化メッセージアプリで新しい暗号化チャットを開始する体験とは大きく異なります。後者の場合、新しいチャットウィンドウを開くだけで済みます。
これは細かいことに思えるかもしれませんが、デフォルトのエンドツーエンド暗号化とこのような体験との違いは非常に大きい可能性があります。実際、ほとんどの1対1のTelegram会話、そしてすべてのグループチャットは、Telegramのサーバーによって閲覧および記録可能であり、ユーザー間で送信されるすべてのメッセージ内容をサーバーが参照できることを意味します。これはすべてのTelegramユーザーにとって問題になるかもしれませんし、ならないかもしれません。しかし、それを「特に安全な暗号化」と宣伝するのは明らかに不適切です。
(詳しい情報や、Telegramの実際の暗号プロトコルに対するさらなる批判に興味がある方は、後述します。)
デフォルトの暗号化は本当に重要なのか?
おそらく重要かもしれないし、そうでないかもしれません! この問題には2つの異なる視点があります。
1つ目の視点は、Telegramがデフォルトの暗号化を欠いていることが多くの人にとってはまったく問題ではないということです。現実には、多くのユーザーがTelegramを暗号化されたプライベートメッセージツールとして使っていません。多くの人にとって、Telegramはプライベートメッセージアプリというよりも、むしろソーシャルメディアネットワークのようなものです。
具体的には、Telegramにはそうした用途に非常に適した2つの人気機能があります。1つは「チャンネル」を作成・購読できる機能で、それぞれがブロードキャストネットワークのように機能し、1人または少数の人間が数百万の読者にコンテンツを配信できます。何千人もの見知らぬ人にメッセージを放送している場合、チャット内容の秘匿性を保つことはそれほど重要ではありません。
Telegramは数千人のユーザーを含む大規模な公開グループチャットもサポートしています。これらのグループは一般公開される場合もあれば、招待制に設定されることもあります。個人的には何千人もの人とグループチャットを共有したことはありませんが、多くの人がこの機能を好んでいると聞きます。こうした大規模な公開グループ内では、Telegramのチャットが暗号化されていないこともそれほど重要ではなく、公共の広場で会話するときに誰が暗号化を気にするでしょうか?
しかし、Telegramの機能はこれらに限りません。こうした機能のために加入したユーザーの多くは、他の使い方もします。
「公共の広場」のような大規模なグループチャットをしていると想像してください。この環境では強いプライバシーを期待する必要はなく、エンドツーエンド暗号化は重要ではありません。しかし、あなたと5人の友人がその広場から離れて秘密の会話をする場合を考えてみてください。この会話は強いプライバシー保護に値するでしょうか? ですが、Telegramはその保護を提供しません。少なくともデフォルトの暗号化では、Telegramサーバーによるコンテンツ共有からあなたを守ることはできません。
同様に、Telegramのソーシャルメディア機能を使って主にコンテンツを消費しており、生成はしていないとしましょう。しかし、ある日、友人も同じ理由でTelegramを使い始め、あなたがそこにいることに気づき、プライベートメッセージを送ってきます。この時点で、あなたはプライバシーを気にしますか? そして、隠れたメニューを4回タップして、「秘密チャット」を手動で有効にしますか? 片方がオフラインだと即時通信ができなくなるという制限があるにもかかわらず?
私は強く疑いますが、多くの人はTelegramのソーシャルメディア機能のために参加し、結果としてプライベートチャットにも使うようになるでしょう。Telegramはそれを理解しており、自分たちを「安全なメッセージアプリ」として宣伝し、プラットフォームの暗号化機能について語っているのだと思います。なぜなら、それが人々に安心感を与えることを知っているからです。しかし実際には、こうしたユーザーのほとんどが本当にTelegramの暗号化機能を使っているとは疑っています。 多くのユーザーは、暗号化を手動でオンにする必要があることすら知らないかもしれません。すでに暗号化が使われていると思い込んでいる可能性さえあります。
ここから次のポイントにつながります。
Telegramは暗号化機能の使いにくさを知りながら、依然として自社製品を「安全なメッセージアプリ」として宣伝しています。
2016年以降(おそらくそれ以前から)、Telegramの暗号化機能は、私がこの記事で述べた多くの理由から深刻な批判を受けてきました。実際、こうした批判の多くは、私を含む専門家たちが、かつてPavel DurovとTwitter上でやり取りした際に提起したものでした。
Durovとのやり取りは時に鋭いものでしたが、当時はそれでもTelegramは善意に基づいていると信じていました。彼らはネットワークの拡大に忙殺されており、時間が経てばエンドツーエンド暗号化の品質と使いやすさを改善していくだろうと考えていました。例えば、それをデフォルトに設定したり、グループチャットに対応させたり、オフラインのユーザーとの暗号化チャットの開始を可能にしたりするだろうと。Telegramは先駆者ではなく追随者かもしれないが、最終的にはSignalやWhatsAppと同等の暗号プロトコル機能に到達すると仮定していました。あるいは、完全に暗号化を放棄し、ソーシャルメディアプラットフォームに特化する可能性もありました。
しかし、実際に起こったことは私をさらに困惑させました。
Telegramの所有者はエンドツーエンド暗号化の使いやすさを改善せず、2016年以降、その暗号化ユーザーエクスペリエンスはほとんど変わっていません。プラットフォームで使用される基盤の暗号アルゴリズムにはいくらかのアップグレードがあったものの、2024年の「秘密チャット」のユーザーエクスペリエンスは8年前とほとんど変わりません。それにもかかわらず、同期間でTelegramのユーザー数は7〜9倍に増加しました。
一方で、Telegram CEOのPavel Durovは、Telegramを「安全なメッセージアプリ」として積極的に宣伝し続けています。最近では、個人のTelegramチャンネルでSignalやWhatsAppを厳しく批判し、これらのシステムには米国政府による裏口(バックドア)が設けられているとほのめかし、Telegram独自の独立した暗号プロトコルだけが真に信頼できると主張しています。
もし両方のプラットフォームがデフォルトでエンドツーエンド暗号化をサポートしているのであれば、これは妥当な技術的議論となるかもしれません。しかし、Telegramはこの議論において立つべき土俵を持っていません。デフォルトで暗号化されたメッセージアプリからの離脱をユーザーに促しながら、自らはユーザーのメッセージを広範に暗号化する基本機能の実装を拒否している現状を見ると、もはや面白がっていられません。実際、悪意があるようにさえ感じ始めています。
他にどのような暗号の詳細があるのか?
ここは暗号学ブログなので、退屈な暗号プロトコルの説明を少し省けば、職務怠慢と言えるかもしれません。また、Telegramの暗号内部のディテールに毎回驚嘆する大好機も逃すことになります。
苦痛を最小限に抑えるために、一文で要点を説明します。興味がない場合は、自由に読み飛ばしてください。
最も最新の暗号仕様によれば、Telegramの「秘密チャット」機能はMTProto 2.0と呼ばれる独自プロトコルに基づいています。このシステムは2048ビットの有限体Diffie-Hellman鍵交換を使用しており、群パラメータは(私の理解では)サーバーが選択しています。(Diffie-Hellman鍵交換には両ユーザーのオンラインでの相互作用が必要なため、片方がオフラインの場合は暗号化チャットを設定できません。)MITM(中間者攻撃)の保護は端末ユーザーが行い、鍵フィンガープリントを比較する必要があります。サーバーは、その用途を完全には理解できない奇妙なランダムな「nonce」(ノンス)を提供しています *——過去にはこれらのノンスが悪意あるサーバーに対して鍵交換を完全に不安定にしていましたが、この問題は既に修正されています *。生成された鍵は、AESベースの「無限グリッチング拡張」(IGE)と呼ばれる、極めて珍しく非標準な認証付き暗号モードに使用されます。認証処理にはSHA2が使われます。**
注:上記段落で「*」マークをつけた箇所は、専門的なセキュリティ監査の場であれば、暗号学の専門家が挙手して質問するようなポイントです。深入りは避けますが、要するに、Telegramの暗号化は非常に異例です。
もし私にTelegramの秘密チャットプロトコルと実装が安全かどうか尋ねるなら、おそらく安全だろうと答えます。 正直なところ、しかし、実際に誰も使わないなら、どれほど安全であろうと意味がありません。
Block unicorn 注釈:簡単に言えば、Telegramの暗号システムは情報を保護するために複雑な技術を使用していますが、ユーザーエクスペリエンスの面では設定と利用が複雑です。特に乱数の使用法や鍵の保護方法など、一部の技術的詳細は透明性に欠けると感じるかもしれません。
最後に
エンドツーエンド暗号化はデータ漏洩を防ぐために開発された最良のツールの一つですが、物語のすべてではありません。メッセージングにおける最大のプライバシー問題の一つは、膨大な量のメタデータ——つまり、誰がサービスを使い、誰と話し、いつ話し合っているかというデータです。
こうしたデータは通常、エンドツーエンド暗号化の保護下にはありません。Telegramのチャンネルのように、ブロードキャスト機能しかないアプリケーションであっても、誰が放送を聴いているかについての有用なメタデータが大量に存在します。伝統的な放送局がこうしたデータ収集に巨額の資金を費やすことからもわかるように、こうした情報自体が人々にとって大きな価値を持ちます。現在、こうしたすべての情報はTelegramのサーバー上に存在する可能性があり、誰でも取得可能です。
私はTelegramを特別に批判しているわけではありません。なぜなら、ほぼすべての他のソーシャルメディアネットワークやプライベートメッセージアプリも同様の問題を抱えているからです。ただし、この点に触れておくべきです。暗号化があればそれで十分だと思わないようにするためです。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














