Telegram、1クリックでIP漏えいする問題が判明

セキュリティニュース

投稿日時: 更新日時:

Telegram、1クリックでIP漏えいする問題が判明

メッセージングアプリ Telegram において、ユーザーが特定のリンクを1回クリックするだけで、実際のIPアドレスが第三者に漏えいする可能性がある問題が明らかになりました。

この問題は、セキュリティ研究者や複数の調査チームによって2026年1月に相次いで指摘され、
Telegram側も事実関係を認めたうえで「警告表示を追加する」と表明しています。

問題の概要

今回の問題は、Telegramが提供するプロキシ接続機能「MTProxy」に関連する挙動において確認されたものです。 Telegramでは、通信規制のある地域でもサービスを利用できるよう、公式に専用のプロキシ機能をサポートしています。しかし研究者の分析によると、「tg://proxy」という形式のリンクを使用した場合、ユーザーがリンクをクリックした瞬間に、アプリが自動的にプロキシの接続確認を行う仕様になっていることが判明しました。

ここでの最大の問題点は、「この接続確認の通信が、ユーザーが設定しているVPNやTelegram内のプロキシ設定を経由せず、端末の通常の回線(生IP)から行われてしまう」という点です。

攻撃の仕組み

この問題の懸念点は、攻撃手法が非常にシンプルであることです。 攻撃者は「tg://proxy」形式のリンクを作成し、それを「@username」のような一般的なユーザー名に見せかけて送信します。

受信者がプロフィールリンクだと思ってクリックすると、アプリは自動的に攻撃者が指定したサーバーへ接続確認を行います。この通信はVPNや匿名化設定を無視して行われるため、接続先のサーバー(攻撃者)には、利用者の実際のIPアドレスが記録されてしまいます。

特筆すべきは、リンクに含まれる「secret key(秘密鍵)」が正しくなくてもこの挙動が発生する点です。ユーザーが不審に思う余地がほとんどなく、クリックした時点で情報が送信されてしまいます。

影響範囲:Android・iOSの両ユーザー

この挙動は特定のOSに限ったものではありません。 複数の研究者による検証で、Android版およびiOS版のTelegramのどちらでも同様の通信が発生することが確認されています。そのため、PC版だけでなく、スマートフォンでTelegramを日常的に利用している一般ユーザーにとっても、決して無関係な問題ではありません。

PoCが公開済み

GitHub上では、すでにこの問題を再現するための実証コード(PoC)が公開されています。

その内容を見る限り、特別な高度技術は必要なく、ローカルサーバーやトンネルサービスを利用すれば、第三者のIPアドレスを取得可能であることが示されています。

実験では、被害者側の画面に「プロキシ接続をテストしています」といった通常の表示しか出ないため、裏で不正な通信が行われていることに気づくのは困難です。VPNを有効にしていても、Telegram内蔵のプロキシを使用していても、通信が端末の生の回線から発生してしまう点は、多くの利用者にとって想定外の仕様といえます。

なぜ危険なのか

IPアドレスが第三者に渡ることで、個人が完全に特定されるわけではありませんが、国や都市レベルの位置情報、利用している通信事業者、回線の種類などが推測可能です。 これらの情報は、嫌がらせ、標的型攻撃、監視、さらなる情報収集の足がかりとして利用される恐れがあります。

特に、検閲の厳しい地域に住むユーザーや、活動家、ジャーナリストなど、匿名性を前提に情報発信を行っている方々にとっては、IPアドレスの露出は安全に直結する深刻な問題となり得ます。

Telegramの公式見解と今後の対応

Telegram側はこの件について、「IPアドレスはウェブサービスの性質上、接続先には見えるものである」とし、これ自体はTelegram特有の不具合ではないという立場を示しています。

一方で、ユーザー名に見せかけたリンクが誤解を招く可能性があることは認めており、今後はプロキシリンクをクリックする際に警告を表示する仕組みを導入すると説明しています。現時点では、通信の仕様そのものを変更するかどうかについては明言されておらず、まずは注意喚起による対応が中心となる見通しです。