セキュリティ

SECURITY

公開：2025-05-17

TeleMessageアーカイビングバックエンドの脆弱性CVE-2025-47729が公開、平文保存の問題が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• TeleMessageアーカイビングバックエンドの脆弱性CVE-2025-47729が公開された
• 2025年5月5日までのバージョンで、TM SGNLアプリのメッセージが平文で保存されていた
• TeleMessageのドキュメントに記載されたエンドツーエンド暗号化とは異なる挙動だった

TeleMessageアーカイビングバックエンドの脆弱性に関する報告

MITRE Corporationは2025年5月8日、TeleMessageアーカイビングバックエンドの脆弱性CVE-2025-47729を公開した。この脆弱性により、2025年5月5日までのバージョンにおいて、TM SGNL（Archive Signal）アプリユーザーのメッセージが平文で保存されていたことが判明したのだ。

この脆弱性は、TeleMessageが謳っていた「モバイル端末から企業アーカイブまでエンドツーエンド暗号化」という機能説明とは異なる挙動を示していた。2025年5月に実際に悪用された事例も確認されている。そのため、ユーザーの機密情報が漏洩するリスクがあったのだ。

TeleMessageは現在、この脆弱性に対処するための調査と対策を実施している。具体的な修正版のリリース時期などは、現時点では公開されていない。しかし、ユーザーは速やかに最新版へのアップデートを行うべきである。

この脆弱性は、CWE-912（隠れた機能）に分類され、CVSSスコアは1.9（低）と評価されている。しかし、実際に悪用された事例があることから、軽視すべきではない。迅速な対応が求められる。

関連情報

CWE-912について

CWE-912は、ソフトウェアに意図せず組み込まれた、または意図的に隠された機能を指す。この機能は、通常はドキュメントに記載されておらず、セキュリティ上のリスクとなる可能性がある。

• 予期せぬ動作を引き起こす可能性がある
• セキュリティホールとなる可能性がある
• 悪意のある攻撃者に利用される可能性がある

適切なコードレビューやセキュリティテストを実施することで、CWE-912のような脆弱性を発見し、未然に防ぐことが重要だ。開発者は、セキュリティに関するベストプラクティスを遵守する必要がある。

TeleMessageアーカイビングバックエンド脆弱性に関する考察

今回のTeleMessageアーカイビングバックエンドの脆弱性は、企業におけるデータセキュリティの重要性を改めて示すものだ。エンドツーエンド暗号化を謳いつつ、実際には平文でデータが保存されていた点は、大きな問題と言える。ユーザーの信頼を損なうだけでなく、企業の評判にも悪影響を及ぼすだろう。

今後、同様の脆弱性が他のサービスでも発見される可能性がある。そのため、企業は定期的なセキュリティ監査や脆弱性診断を実施し、迅速な対応体制を整える必要がある。また、ユーザーに対しても、セキュリティに関する意識向上のための啓発活動を行うべきだ。

TeleMessageは、この脆弱性を迅速に修正し、再発防止策を講じる必要がある。さらに、ユーザーへの情報開示を徹底し、信頼回復に努めるべきだ。透明性のある対応が、今後の企業活動において重要となるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-47729」. https://www.cve.org/CVERecord?id=CVE-2025-47729, (参照 25-05-17).
2949

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧