トランプ・モバイルのWebサイトが個人情報を大量漏洩した可能性　技術者が主張

トランプ・モバイルのWebサイトが個人情報を大量漏洩した可能性　技術者が主張

The Register – Fri 22 May 2026

米トランプ大統領が手がけ、しばしば批判を浴びている携帯電話サービス「トランプ・モバイル」は、あるセキュリティ専門家が発見したWebサイトの脆弱性によって新たな打撃を受けるかもしれない。この脆弱性はすでに修正されているが、顧客2万7,000人以上の個人情報を漏洩していた可能性が発覚している。

発見者は「Louis」と名乗る人物で、独学で技術を習得した「暇を持て余しているただのオタク」だと自称している。同氏によると、前述のデータはシンプルなHTTPのPOSTリクエストを入力するだけで取得できたとされ、氏名や住所、メールアドレス、電話番号、顧客番号／アカウント番号、「登録ID」（予約番号）、注文方法（電話かオンラインか）といった情報が含まれるようだ。

Louis氏は取得したデータがすべて削除されたことを確認した後、トランプ・モバイルやその他の対応可能な関係者に調査結果を開示しようとしたが、返答を得られなかった模様。そこで2人の著名なYouTubeクリエイター、Stephen “Coffeezilla” Findeisen氏とCharles “penguinz0” White Jr.氏に情報を提供し、問題の公表を決意したそうだ。旗艦モデルのAndroidスマートフォン「T1」を注文したことで知られる両氏は、それぞれの調査結果をまとめた動画を公開し、合わせて数百万回の再生回数を記録しているという。

T1は当初2025年8月発売を予定していたが、今週になって予約注文者の手に届き始めたとのこと。ゴールドカラーの筐体が採用され、「すべてアメリカ製」であることを最大の売り文句としているが、台湾のテック企業HTCが2024年6月に発売したミッドレンジAndroid端末「HTC U-24 Pro」のリスキン版に過ぎないとの声も聞かれている。

TelegramのMTProtoプロトコル、ユーザー追跡を可能にする永続的な識別子を漏洩か

CyberInsider – May 22, 2026

新たに公開されたTelegramのMTProtoプロトコルに関する技術レビューによると、このメッセージングプラットフォームは永続的なデバイス識別子をネットワーク上の傍受者に公開しており、同アプリの暗号化を破ることなく、ネットワークや場所、セッションを通じてユーザーを追跡できる可能性があることがわかった。TelegramがMTProtoトラフィックにトランスポート層の暗号化を義務付けていないため、この問題は現在も解決されていないと研究者らは警告している。

この研究で焦点が当てられたのは、Telegramのすべてのメッセージヘッダーに埋め込まれるMTProtoのauth_key_id。この64ビットの識別子は、アプリの再起動やIPアドレスの変更、VPNの使用、そしてネットワークの切り替え後も安定しているため、受動的なネットワーク監視者が長期間にわたる活動を追跡できる可能性があるという。

また、Androidおよびデスクトップ版のTelegramクライアントは、通常セキュアなWebトラフィックに関連付けられているポート443を使用している場合でも、HTTPSまたはTLSで暗号化されたチャネルではなく、生のTCP接続を介してMTProtoトラフィックを送信している。研究者らはパケットキャプチャを行った結果、TLSハンドシェイクや証明書の交換は確認されず、トランスポート層自体が暗号化されていない状態であることを特定。このため、インターネットサービスプロバイダー、企業ネットワーク管理者、ホテルのWi-Fi事業者、携帯電話会社、国家監視システムは永続的なauth_key_idを傍受できる可能性があるとされている。研究者チームはこれらの見解を検証する際、Telegramが公開している難読化手法でキャプチャしたトラフィックからauth_key_idの値を抽出できたとし、この手法はリバースエンジニアリングが容易だと指摘した。

Telegram側はこの調査結果を否定した上で、自社サイトに掲載されている詳細な技術的対応を参照するよう要求。さらに報告書の結論が不正確だとし、MTProtoのauth_key_idは「定期的に変更され、ユーザー情報、メッセージの内容、受信者、または個人データを漏洩することはない」と主張しているそう。