暗号ソフトウェア開発のバージル・セキュリティ(Virgil Security)は1日、メッセージアプリのテレグラムから最近リリースされた個人識別認証ツール「テレグラムパスポート」が、ブルートフォース攻撃で脆弱であるとの報告書を出した。
テレグラムは26日、「テレグラムパスポート」のローンチを発表した。これはユーザーの個人ID情報を暗号化し、暗号化したID情報を安全に第三者と共有できるサービスだ。イニシャル・コイン・オファリング(ICO)、仮想通貨ウォレットといったサードパーティと共有できるようにすると期待されている。
ユーザーのデータは、エンドツーエンドの暗号を使用してテレグラム・クラウドに保管され、その後、「ランダム・ノイズ」とみられるように個人データを復号化できなくし、分散型クラウドに移動させる。
しかしバージル・セキュリティの調査によれば、このサービスのパスワード保護で懸念が見つかった。バージルによると、テレグラムはハッシングアルゴリズムにSHA-512を使っている。このアルゴリズムはソルトされていても、ブルートフォース攻撃には脆弱なままだという。暗号分野で、ソルトとはランダムなデータを付与して、元のパスワードの長さを延長して、パスワードを解析されにくくするっことだ。
ユーザーが個人データを暗号化すると、テレグラムクラウドにアップロードされ、サードパーティのサービスで真正性を確認する必要がある場合、そのデータを復号化し、そのサービスの資格情報を再暗号化する。バージルによれば、こういった要素すべてが、ユーザーのパスワードのハッシュテーブルがハッカー攻撃にさらされる可能性があるという。
「テレグラムクラウドにアップロードするデータのセキュリティは、選択されたハッシュアルゴリズムによるブルートフォース攻撃が容易なため、パスワードの強さに大きく依存する。またデジタル署名がないと、受信者が知らなくてもデータを変更することができる」
テレグラムは今年3月に実施した資金調達の第2ラウンドで、8億5000万ドル(約944億円)を集めた。1月末から2月にかけての第1ラウンドでも同額を調達している。計17億ドルの資金は、新しいブロックチェーンのプラットフォームTON(テレグラム・オープン・ネットワーク)の構築にあてるとしている。