嵐から3カ月後:サイバー犯罪者はTelegramから他のプラットフォームへ移行したのか?
Published 12月 18, 2024.
はじめに
Telegramは、世界中で多くの人々が使用している合法的なプラットフォームです。しかし以前KELAのレポートで解説したとおり、そのモデレーション機能のゆるさがサイバー犯罪活動を行う上で利点となっており、この数年でTelegramはサイバー犯罪者の間でも主要なプラットフォームとして使用されるようになりました。いまや彼らは、窃取したデータやハッキングツールを配信したり、攻撃の犯行声明を出したり、その他様々な不正行為を行う拠点としてTelegramを使用しています。
2024年9月、Telegramは運営方針を変更し、それまでのプライバシー保護第一主義のアプローチをやめ、テロ事件をはじめとする様々な犯罪捜査の要請に応じて、ユーザーの電話番号やIPアドレスを法執行機関に開示したり、犯罪捜査面で当局に協力することを明言しました。この変更を受け、Telegramを利用していたサイバー犯罪者の間では、今後も同プラットフォーム上で活動を続けていけるかについて疑問が生じています。
Telegramが運営方針を変更した理由として、同プラットフォームの設立者兼CEOであるPavel Durov氏がフランスで当局に逮捕されたこと、またその後、同プラットフォームとDurov氏に対する法的な圧力が高まったことが挙げられます。そしてDurov氏の逮捕後は、Telegramを使用している多数の脅威アクターの間で騒動が発生する事態となりました。
脅威アクターらは、Durov氏の逮捕とTelegramの運営方針変更は、自分達の自由をまっこうから制限するものであると見なしていました。そしてKELAがアンダーグラウンドを調査したところ、運営方針の変更が発表された直後には、脅威アクターらが新たな拠点で違法行為を続けるべく、他のプラットフォームへ移行することについて議論している様子が観察されました。
彼らの激しい反応やそれまでの状況を考慮すると、Telegramは「サイバー犯罪者がよりどころにしているプラットフォーム」としての地位を失い、それまで同プラットフォームでサイバー犯罪に従事していたユーザーは、新たな活動拠点となるプラットフォームを模索することになるであろうと思われました。そこでKELAは、Telegramの運営方針が変わってから3カ月後、同プラットフォームがどのように変化したのかについて調査しました。
調査結果の要点
- 代替プラットフォームの模索
- サイバー犯罪者は暗号化や機密性を重視し、SignalやDiscord、Matrix、Tox、Session、Simplex、JabberなどをTelegramの代替プラットフォームとして検討していました。
- 代替プラットフォームに関する議論では、新たなプラットフォームに移行したとしても、移行先のプラットフォーム側が活動を監視している可能性があることや、透明性のレベルについて強く懸念している様子がうかがえました。
- Telegramのバックアップ用チャンネル
- Telegramのチャンネルが使用禁止になった場合のリスクを低減しつつ、同プラットフォーム上で積極的な活動を維持するために、サイバー犯罪者がTelegramでバックアップ用チャンネルを作成・使用する事例が増加していました。
- 代替プラットフォームへの移行は限定的
- SignalやDiscordなどの導入率がわずかに増加していましたが、Telegramの代替というよりも、補足用のオプションとして使用されていました。
- Telegramは引き続き主要なプラットフォームの地位を維持しており、月平均約24万7,000件のリンクが共有されていました。一方、SignalとDiscordは両プラットフォームの合算で、月平均700件程度に留まりました。
- プラットフォームの移行を宣言したグループのその後:
- 多数のグループがTelegramを離れる計画を公表しましたが、彼らの大半はその後も同じTelegramチャンネルで引き続き活動したり、新たなTelegramチャンネルを作成していました。これに該当するグループの例としては、「Al Ahad」や「Bl00dy Ransomware Gang」、「GlorySec」、「Moroccan Cyber Aliens」、「Team ARXU™」などが挙げられます。
- Telegramの優位性に変化なし
- Telegramが運営方針を変更した後も、同プラットフォームは引き続きサイバー犯罪者にとって主要な活動拠点となっており、その理由としてTelegramが提供している機能や、確立されたユーザー基盤の存在が挙げられます。しかし、サイバー犯罪エコシステムは常に変化しているため、今後も各プラットフォームや手法の進化を観察してゆく必要があります。
Telegram以外の選択肢は?
2024年9月にTelegramが運営方針を変更して以降、脅威アクターらはTelegramの代わりとなるプラットフォームについて議論しています。彼らが代替候補として名前を挙げたプラットフォームやプロトコルの一部を以下に記載します。
- Discord -音声通話やビデオ通話、テキストメッセージでやり取りできるインスタントメッセージ&VoIPプラットフォーム。コミュニティ内で非公開のやり取りを行ったり、オープンディスカッションを行うオプション機能もあります。
- Jabber – インスタントメッセージや音声通話、ビデオ通話、音声メッセージ、デスクトップの共有、会議、プレゼンス機能を使用できるプラットフォーム。主にダイレクトメッセージに使用されています。
- Matrix – IP経由の相互運用を実現した、分散型&リアルタイム通信のオープンスタンダード。インスタントメッセージやVoIP/WebRTCシグナリングに使用されています。
- Tox -ピアツーピアのメッセージ&ビデオ通話プロトコル。安全なエンドツーエンドの暗号化通信を行えるよう設計されており、ダイレクトメッセージに使用されています。
- Session -メッセージにエンドツーエンドの暗号化や、Onionルーティングを使用したプラットフォーム。小規模グループ内でのやり取りが可能であり、主にダイレクトメッセージに使用されています。
- Signal – エンドツーエンドで暗号化したテキストメッセージ、音声通話、ビデオ通話、カスタマイズ可能な自動消滅メッセージ機能を提供しているメッセージプラットフォーム。非公開のメッセージのみならず、グループ・コミュニティ向けのメッセージにも使用されています。
- Simplex – ユーザーの識別子(電話番号やユーザー名など)不要で使用可能な、プライバシー重視型&分散型のメッセージプラットフォーム。主にダイレクトメッセージに使用されています。
Telegramの代替プラットフォームに関する議論の大半では、メッセージの機密性や高度な暗号化機能がもっとも重視すべきポイントとして挙げられていました。また、当局に対するプラットフォームの透明性も重大な懸念事項の1つとなっていました。以下に、その様子がわかる事例を掲載します。
ハッカーがTelegramの代替プラットフォームやプロトコルについて議論している投稿(フォーラム「Exploit」)
安全性を重視しつつ、代替プラットフォームについて議論している投稿(フォーラム「Exploit」)
Telegramの運営方針変更から3カ月が経過した後も、代替プラットフォームに関する議論が続いていることがわかる投稿
また一部のサイバー犯罪者は、Telegramで違法行為に関与していたチャンネルやグループが閉鎖したことを確認したと報告しており、これもさらなる議論を引き起こしています。そして実際、Telegramで無効となったチャンネルの件数が増加している様子が観察されています。しかしサイバー犯罪者らも、Telegramでチャンネルが無効にされた事態に備えてバックアップ用のチャンネルを作成しており、メインチャンネルが使用禁止になった時にはそれらのバックアップ用チャンネルを使用しています(彼らの大半は、バックアップ用のTelegramチャンネルを前もって他のユーザーに周知しています)。しかしその一方で、バックアップチャンネルを使用するにとどまらず、実際に他のプラットフォームを使用するようになったサイバー犯罪者の存在も確認されています。
今もDiscordやSignalより人気の高いTelegram
前セクションで記載したとおり、サイバー犯罪者の中にはバックアップチャンネルを作成している者もいます。しかしそれにとどまらず、実際に他のプラットフォームを使用するようになった者もいます。
まず、Telegramとそれ以外のプラットフォームの人気を測定するため、我々はサイバー犯罪者が共有したプラットフォームのリンク数を調査しました。今回調査対象にあがったリンクのほとんどは、一般的な議論に関する投稿ではなく、特定のグループへのインビテーションに関連しています。Telegramの代替として議論されているプラットフォームのうち、SignalとDiscordには、グループやコミュニティを作成したり、比較的簡単にユーザー登録できるなど、Telegramが最初にユーザーを引き付けた機能が備わっています。
KELAがサイバー犯罪関連のTelegramチャンネルを調査したところ、2024年8月24日にPavel Durov氏が逮捕されて以降、Signalチャンネルのリンクを共有しているメッセージの件数が増加していることが確認されました。しかしさらに調査を進めた結果、過去3カ月間にそれらのリンクを共有していたメッセージのほとんどは主に5つのグループが投稿していたものであったこと、またそれらのメッセージでは、自分達(5グループ)がSignalで運営しているチャンネルについて記載しつつ、Telegramで行っている活動について宣伝していたことなどが確認されました。
Pavel Durov氏の逮捕後に共有されたSignalリンクの件数(KELAのデータレイクに保存されているサイバー犯罪関連Telegramチャンネルの情報をもとに集計)
Pavel Durov氏の逮捕後に共有されたSignalリンクの件数を、掲載元のTelegramチャンネル名で分類したグラフ(KELAのデータレイクに保存されているサイバー犯罪関連Telegramチャンネルの情報をもとに集計)
また調査結果を見る限り、一部のアクターはTelegramと並行してSignalを使用しはじめたようですが、Signalの人気はそれほど高まっていないものと思われます。
Discordも、様々な議論でTelegramの代替プラットフォームとして頻繁に名前が挙がっていますが、KELAが調査した限り、Discordのサーバー(コミュニティ)へのリンクを共有している件数に著しい増加傾向はみられませんでした。
2024年1月1日以降共有されたDiscordリンクの件数(KELAのデータレイクに保存されている、サイバー犯罪関連Telegramチャンネルの情報をもとに集計)
それでもDiscordやSignalのリンク共有件数は以前よりも増加していると言えますが、特筆すべき点として、Telegramのリンクも活発に共有されていること、そしてこれら3つのメッセージプラットフォームの中で、Telegramがもっとも高い人気を誇っていることが挙げられます。
2024年8~12月の間に共有されたSignalとDiscordのリンクは、月平均で682件(両プラットフォームの合計)となりましたが、同期間に共有されたTelegramのリンクは月平均で24万6,903件に上り、他のプラットフォームを大きく引き離しています。
一部のTelegramグループは、個々のメッセージを投稿する度に自らのTelegramチャンネルのリンクを記載しています。そのため、Telegramのリンクが含まれていたメッセージは、それらグループのものが大半を占めていると言えます。しかし、それらグループの投稿をカウントの対象外にしたとしても、Telegramが広範に使用されているという現状に変わりはありません。
2024年8月1日以降共有されたSignal、Discord、Telegramのリンク件数(KELAのデータレイクに保存されているサイバー犯罪関連Telegramチャンネルの情報をもとに集計)
Pavel Durov氏の逮捕後に共有されたTelegramリンクの件数を、掲載元のTelegramチャンネル名で分類したグラフ (KELAのデータレイクに保存されているサイバー犯罪関連Telegramチャンネルの情報をもとに集計)
Telegramを離れると宣言したものの留まったグループ
Durov氏の逮捕を受けてTelegramの運営方針が変更された直後、一部のTelegramチャンネル管理者は、他のプラットフォームでチャンネルを作成して移行するとの計画を公表しました。しかしその後、彼らが他のプラットフォームで作成した新たなチャンネルは、メインで使用しているTelegramチャンネルの代替ではなく、バックアップ用チャンネルとして使用されている様子が観察されました。
例えば2024年9月26日、親バングラデシュ派のハクティビストグループ「Team ARXU™」は、セキュリティを強化するためにTelegramからSignalへ活動の場を移行することを決定したと発表しました。同グループはフォロワーに対し、「より安全でプライベートなチャット体験」に参加するよう呼びかけ、新しく作成したSignalグループのリンクを共有しました。
Team ARXU™が活動の場をTelegramからSignalに移行することを表明している投稿
しかしそれから3カ月が経過した後も、Team ARXU™のTelegramチャンネルは活動を続けており、登録ユーザー数も現在では2,000人近くに増加しています。同グループは活動の場を変更すると明言しましたが、その後も新たなコンテンツをTelegramチャンネルに定期的に投稿しています。その一方で、移行先として共有されたSignalのリンクは、本レポート執筆時点で無効となっています。
Team ARXU™のTelegramチャンネルに投稿されたメッセージの件数(2024年8~12月)
ランサムウェアグループ「Bl00dy Ransomware Gang」も、2024年9月24日にTelegramの運営方針変更を受けて、同プラットフォームを離れると宣言しました。同グループはこの宣言直後にTelegramチャンネルでの活動を停止しましたが、その1カ月後の2024年10月24日には新たなTelegramチャンネルで活動を再開し、そこでランサムウェア攻撃の被害組織を公表するようになりました。また同グループは、自らのXアカウントでも新たなTelegramチャンネルを宣伝しています。
ランサムウェアグループ「Bl00dy」が以前使用していたTelegramチャンネルで最後に投稿したメッセージ
また2024年9月24日、反イスラエル派のイラク系ハクティビストグループ「Al Ahad」も、Telegramの運営ポリシーが変更されたことを理由に同盟メンバーやチャンネルをSignalへ移行することを表明し、移行先となるSignalチャンネルのリンクを公開しました。しかし、その後同グループがTelegramチャンネルで活動を停止することはなく、それどころか英語で運営しているメインチャンネルに加え、ヘブライ語のチャンネルを新たに立ち上げました(なお、同グループが英語で運営していたメインチャンネルは、ヘブライ語のチャンネル開設直後に閉鎖されています)。
現在このAl Ahadは「Al Ahad Security」とグループ名を変え、「Al Ahadの傘下にある1グループ」という立ち位置でTelegramで活動しています(グループ名を変更した理由は、Telegramの監視をさけるためであると思われます)。またグループの自己紹介部分には、Durov氏宛てのメッセージとして、「このチャンネルはTelegramのルールに従っている。このチャンネルは、テロ対策やハッキング対策を行っている」と記載されており、違法行為は行わないと主張しています。そして実際、このチャンネルにはAl Ahad Securityが行った攻撃に関する情報ではなく、親パレスチナ派グループによる攻撃や犯罪活動の情報が再投稿されています。Al Ahadもメインチャンネルでの活動を終了する前の時期、自らの活動(主にイスラエルの組織を標的にした攻撃)に関するメッセージをAl Ahad Securityのチャンネルに転送していました。
以下の表は、Telegramを離れると宣言した5グループの詳細と、彼らのその後の活動についてまとめたものです。
これらの状況をまとめると、Telegramで活動していたグループのうち、一部については活動に若干の変化が見られ、他のプラットフォームをバックアップ用チャンネルとして使用している様子も観察されています。しかしそれらグループのほとんどは、引き続きTelegramも使用しています。
結論
長い間、犯罪者の間では「Telegramでは監視が行われておらず、ルールに従わず自由に活動できる場であり、安全な隠れ場所である」と考えられていました。そのため、TelegramのCEOであるDurov氏が逮捕され、同プラットフォームの運営方針が変更されたことは、サイバー犯罪社会に転機をもたらしたものと思われます。しかしそれでも、Telegramですでにフォロワーや顧客の基盤を確立していたサイバー犯罪者らは、なかなか同プラットフォームを離れられないようです。
これまでKELAが観察したところでは、Telegramで活動する脅威アクターの日々の活動は減少しておらず、他のプラットフォームに移行すると宣言したグループの数にも大きな増加は見られません。他のプラットフォームに移行することについての議論は続いているものの、実際に積極的に移行している様子や傾向は観察されず、移行する意思を表明したグループの中にも、他のプラットフォームへ完全に移行したグループはありません。サイバー犯罪者らは、SignalやDiscord、その他のプラットフォームも使用していますが、今後それらのプラットフォームがTelegramの完全な代替品となる可能性は低く、むしろ悪意ある活動を行うための新たな手段として機能するものと思われます。
これらの傾向は、サイバー犯罪エコシステムが常に進化しており、当初の想定から外れた予測困難な事象が多々発生するという事実を浮き彫りにしています。つまり、サイバー犯罪社会で脅威アクターが使用している様々なプラットフォームや、彼らが採用している運営方法を継続的に監視することが必須であると言えるでしょう。
無料トライアルのご案内:
KELAのインテリジェンスプラットフォームの能力を実際に体験してください。実用的な知見を入手し、重大なリスクを明らかにし、アンダーグラウンドのサイバー犯罪社会の深淵を調査していただけます。皆様が脅威に先手を打つために必要なすべてをご提供します。ぜひ無料トライアルでKELAのプラットフォームをお試しください。
