詐欺対策組織の情報によると、Telegram メッセージング アプリケーションには、Windows オペレーティング システム コンピューターのユーザーに影響を与える可能性のある重大な脆弱性があるとのこと。

この脆弱性は、Python拡張機能「zipapp」のコーディング時にプログラマーが入力したタイプミスに起因しています。具体的には、「pyzw」と入力するはずが、「pywz」と入力されてしまうというものです。これにより、ハッカーは被害者のコンピュータに通知されることなく、攻撃用のエクスプロイトコードを実行できる可能性があります。

テレグラム ロホン 1.jpg
プログラマーがコマンドを誤って入力したため、ゼロデイ脆弱性が発生しました。スクリーンショット

VietNamNetに情報を提供した詐欺対策組織の代表者は、入力ミスは小さいが、ハッカーが攻撃を仕掛けて Windows コンピューターを乗っ取ることができるため、影響は大きいと述べた。

そのため、ハッカーはTelegramのメッセージでユーザーに送信された写真や動画など、あらゆる種類のファイルの下に実行ファイルを隠すことができます。Telegram Windowsの一部のバージョンでは、これらのファイルのダウンロードが自動的に行われるため、ハッカーの標的となった場合でも、ユーザーは攻撃に対して完全に受動的になります。

最近、ロシアのハッカーフォーラムで、このTelegramの脆弱性に関する警告がいくつかありました。これはゼロデイ脆弱性(これまで知られていない脆弱性)であり、様々な方法で悪用される可能性があります。プライベートグループでエクスプロイトコードが共有されている例もあります。したがって、この脆弱性は非常に危険です」と、詐欺対策組織の代表者は述べています。

詐欺対策組織の専門家は、安全を確保するために、特にWindowsコンピューターを使用するTelegramユーザーは、自動ビデオおよび写真ダウンロード機能を積極的にオフにし、見知らぬ人や公開グループおよびチャンネルからランダムに写真やビデオファイルをダウンロードしないようにすることを推奨しています。

これを行うには、ユーザーはTelegramアプリケーションの「設定」セクションに移動し、「データとストレージ」セクションを見つけて、「自動メディアダウンロード」セクションで「写真」、「ビデオ」、「ファイル」の自動ダウンロード機能をオフにする必要があります。

Telegramは、重大な脆弱性を修正するアップデートをリリースしました。Telegramユーザーは、この脆弱性を悪用した攻撃から身を守るために、このアップデートを直ちにダウンロードしてください。

VNGクラウドのサーバー障害は、多くのオンライン新聞社に影響を与えました。VNGクラウドのインシデントによる損害は金銭的に定量化されておらず、多くの報道機関で情報掲載が遅れました。