Facebook傘下のWhatsAppがプライバシーポリシーを改定したのを受け、これを不満とする大勢の利用者が競合のメッセンジャーに乗り換える事態が先日発生しました(リンク先は英語)。そんなメッセンジャーの一つがTelegramです。大量乗り換えの影響もあり、Telegramは数日のうちに2500万人の新規ユーザーを獲得し、総ユーザー数は5億人を突破しました(英語)。
そこで、今回はTelegramのセキュリティとプライバシーについて解説しましょう。
Telegramの場合、エンドツーエンド暗号化はデフォルトではない
まず知っておきたいのは、クラウドを使う標準のチャット形式ではエンドツーエンドでの暗号化が行われないということです(エンドツーエンドの暗号化がプライバシーにとって重要である理由はこちら)。
エンドツーエンドで暗号化されないということは、要するに、TelegramはWhatsAppと同様にメタデータ(誰に、いつ、どのくらいの頻度で送ったかなど)にアクセスできるだけでなく、エンドツーエンドで暗号化されていない標準チャットの内容にもアクセスできるということです。本記事執筆時点でのTelegramのプライバシーポリシー(英語)によると、データが広告目的で使用されることはありません。とはいえ、ポリシーというものは変更される可能性があることを、私たちは経験上知っています。
Telegramのシークレットチャットでエンドツーエンド暗号化を有効にする方法
Telegramには、確かにエンドツーエンド暗号化の機能があります。既定では有効になっていなくて、利用者が自分で有効にする必要がある、というだけの話です。エンドツーエンド暗号化が有効になったチャットは、Telegramでは「Secret Chat(シークレットチャット)」と呼ばれます。
シークレットチャットでは、テキストメッセージのほか、画像や動画などのファイルがすべて、エンドツーエンドで暗号化された状態で送信されます。つまり、送信者と受信者だけが復号鍵を持っていて、Telegramはデータにアクセスできません。
その上、シークレットチャットの中身はTelegramのサーバーには保存されません。シークレットチャットは、チャット参加者のデバイスにしか保存されないので、別のデバイスからはアクセスできません。また、Telegramからログアウトしたとき、またはアプリを削除したときに消去されます。
シークレットチャットを利用できるのはTelegramのiOS版、Android版、およびmacOS版です。Web版とWindows版では利用できません。チャットがデバイスに安全に保存されることを保証できないためです(リンク先は英語)。
Telegramでシークレットチャットを作成する方法
Telegramアプリの現行バージョンではシークレットチャット機能は少々見つけにくくなっています。
シークレットチャットを作成するには、チャット相手のプロフィールを開き、点が3つ並んだボタンをタップまたはクリックして、[Start Secret Chat]を選択します。
こうして表示されたチャット画面でやりとりするメッセージには、エンドツーエンド暗号化が適用されます(開いたときチャット画面にその旨を知らせる通知が表示されます)。時間が経ったらメッセージが削除されるように指定することもできます。指定するには、メッセージ入力ボックスにある時計アイコンをタップまたはクリックして、メッセージが消えるまでの時間を設定します。
メッセージの自動削除を設定しても、チャットの相手がスクリーンショットを撮影すればメッセージは残ってしまいますが、スクリーンショットが撮影されるとチャット内に通知が表示されます。ただし、相手がmacOS版を使用している場合は通知されません。
もう一つ知っておきたいのは、Telegramでは同じ相手と複数のシークレットチャットをすることができるが、グループチャットはシークレットチャットにできない点です。WhatsAppの場合は、すべてのチャットに既定でエンドツーエンドの暗号化が適用されます。
エンドツーエンド暗号化がチャットに適用されているかどうか知る方法:錠アイコン
Telegramのチャットにはクラウドを使う普通のチャットとシークレットチャットの2種類があるので、場合によっては、自分がどちらのチャットを使っているのか確認が必要です。例えば、外に出してはならない情報をやりとりする場合は、シークレットチャットを使用する必要があります。
ところが、シークレットチャットの画面は、標準のチャットと見た目がほとんど同じです。自分が今どちらを使っているのかを見分けるポイントは、チャット相手の名前または電話番号の横に錠アイコンが表示されているかどうかです。表示されている場合はシークレットチャットです。表示されていない場合はエンドツーエンド暗号化がオフになっているということなので、新しいチャットを作成する必要があります。
また、チャット相手のアイコンをタップまたはクリックするとウィンドウが開きますが、エンドツーエンドの暗号化が有効になっている場合は、そのウィンドウの一番下に「Encryption Key」と表示されます。
Telegramのセキュリティとプライバシーの設定方法
ついでに、Telegramでセキュリティとプライバシーの設定をしておきましょう。画面の右下にある[Settings(設定)]をクリックし、[Privacy and Security(プライバシーとセキュリティ)]を選択します。
Telegramのセキュリティ設定
まずは、ロックされていない状態のデバイスを置きっぱなしにしてしまった場合でもチャットを誰にも読まれないように設定しましょう。
- [Passcode(パスコード)]を選択し、[Turn Passcode On(パスコードを有効にする)]をタップまたはクリックします。
- 忘れにくい暗証番号を考え、入力し、確定します。
- [Auto-Lock(自動ロック)]を選択し、短い時間(1分、5分など)に設定します。デバイスが指紋認証や顔認証に対応している場合は、ここでそのオプションを有効にすることもできます。
続いて、アカウントの乗っ取りを防ぐため2段階認証/2要素認証を設定しましょう。Telegramにログインする場合はSMSで送られてくる確認コードを使用するのが基本で、第2の要素としてパスワードを設定できるようになっています。
2段階認証を設定するには、[Privacy and Security(プライバシーとセキュリティ)]タブで[Two-Step Verification]を選択し、パスワードを入力します(Telegramでは2段階認証を「Two-Step Verification」と呼んでいます)。パスワードは強力なものにしましょう。このパスワードを入力する機会はあまりないため、忘れてしまう恐れがあります。どこか安全な場所(パスワードマネージャーなど)に保存してください。
さて、このパスワードを忘れてしまうと、アカウントのリセットが必要になります。アカウントの完全削除を求めるリクエストを送ってから1週間後に、アカウントは削除されます。このアカウントに関連付けられている連絡先、クラウドチャット、登録済みチャンネルが、すべて削除されます。これで、同じ電話番号を使用して、まっさらな状態のアカウントを新しく作成できるようになります。
Telegramのプライバシー設定
全世界にいる5億人以上のTelegram利用者と必要以上に情報共有してしまわないように、自分のプロフィールのプライバシーは適切に設定しましょう。Telegramのプライバシー設定は、基本的に全部[Everybody(全員)]に設定されています。設定をひととおり確認したら、既定の設定を変更しましょう。以下の設定をお勧めします。
- Phone Number(電話番号):[Who can see my phone number(私の電話番号を見ることができる人)]セクションで[Nobody(なし)]を選択します。
- [Phone Number](電話番号):[Who can find me by my number(電話番号で私を見つけられる人)]セクションで[My Contacts(私の連絡先)]を選択します。
- Last Seen & Online(最近オンラインになったとき):[Who can see my timestamp(私のタイムスタンプを見ることができる人)」セクションで[Nobody(なし)]を選択します。
- Profile photo(プロフィール写真):[Who can see my profile photo(私のプロフィール写真を見ることができる人)]セクションで[My Contacts(私の連絡先)]を選択します。
- Calls(電話):[Who can call me(私に電話をかけられる人)]セクションで[My Contacts(私の連絡先)](または[Nobody(なし)])を選択します。
- Calls(電話):[Peer-to-peer(ピアツーピア)]セクションで[My contacts(私の連絡先)](相手にIPアドレスを知られたくない場合は[Nobody(なし)])を選択します。
- Forwarded Messages(転送メッセージ):[Who can add a link to my account when forwarding my messages(私のメッセージを転送するとき私のアカウントへのリンクを追加できる人)]セクションで[My Contacts(私の連絡先)]を選択します。
- Groups & Channels(グループとチャンネル):[Who can add me(私を追加できる人)]セクションで[My Contacts(私の連絡先)]を選択します。
併せて[Privacy and Security(プライバシーとセキュリティ)]の中にある[Data Settings(データ設定)]も確認し、Telegramのストレージに保存されたくない情報があれば削除しましょう。
もっと用心したい人向けのTelegramセキュリティ設定
ここまでの設定で、ほとんどの人には十分です。もっと厳しく用心したい場合には、以下もお勧めします。
- Telegram用に、別の電話番号を用意する。実際の携帯電話番号ではなく、仮想電話番号を使用する方法もあります。ただし、使い捨ての電話番号は使用しないでください。他人があなたのアカウントにアクセスできてしまう可能性があります。
- IPアドレスが分からないようにVPNを使用する(IPアドレスは、例えば法執行機関から要請があった場合にTelegramから開示される可能性があります)。
- 安全でプライバシーの守られたコミュニケーションを行うのにもっと適したアプリを検討する。たとえばSignalやThreemaの場合、Telegramとは違って既定ですべてのチャットが暗号化されますし、追加のプライバシー設定項目も多数用意されています。その一方、これらのアプリはTelegramほど知名度がなく、Telegram利用者が重視している機能がなかったりします。
ぜひ覚えておいてほしいのは、誰かがあなたのデバイスに(物理的であれリモートであれ)アクセスできるようになってしまったときは、どれほど安全性の高いメッセンジャーを使っていても役に立たないということです。その点を考えて、自分の持っているデバイス全部にパスワード/パスワードコードまたは暗証番号を設定し、使っていないときには必ずロックする習慣をつけ、インストールされているアプリとOSは定期的に更新し、セキュリティ製品を使用してマルウェアの感染を防ぐことをお勧めします。