連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャ保障局（CISA）は、広範囲にわたるフィッシングキャンペーンに関する共同サイバーセキュリティ注意喚起を発表しました。この注意喚起は、ロシアの情報機関が暗号化メッセージングアプリ、主にSignalのユーザーを積極的に標的にしていることを警告しています。攻撃者は、基盤となる暗号化プロトコルを侵害するのではなく、ユーザーアカウントを乗っ取ることによって、プラットフォームの堅牢なエンドツーエンド暗号化を回避しています。

ロシアのサイバー作戦の標的

このサイバーエスパionageキャンペーンは、高い情報価値を持つ個人を侵害するように綿密に設計されています。脅威アクターは、現在および元米国政府高官、軍人、影響力のある政治家、著名なジャーナリストを特に標的にしています。当局によると、この作戦はすでに世界中で数千のアカウントの不正アクセスにつながっています。

攻撃の手口

Signalの中核となる暗号化は安全であるため、ハッカーは完全に欺瞞的なソーシャルエンジニアリング技術に依存して、被害者を騙し、プロファイルの制御を奪っています。攻撃者は、公式の自動サポートチャネルを装ったインアプリメッセージを送信して接触を開始します。これらの不正なプロファイルは、多くの場合、「Signal Security Support ChatBot」または「Signal Security Team」のような権威ある名前を使用して、正当性を装っています。

被害者を操作するために、メッセージは緊急性を人工的に作り出します。ユーザーのアカウントがデータ漏洩を起こした、または海外の場所および未登録デバイスからの不審なログイン試行が検出されたと虚偽に主張します。その後、メッセージは、SMS認証コードを渡すか、悪意のあるQRコードをスキャンするなど、アカウントを保護するために必須の検証手順を完了するように指示します。

被害者が誤って検証コードを共有すると、攻撃者はアプリケーションのリンクデバイス機能を利用します。これにより、ハッカーはアラームをすぐに引き起こすことなく、独自のハードウェアを侵害されたアカウントに接続できます。一度侵入すると、脅威アクターはプライベートな会話を静かに監視し、過去のメッセージを読み、プライベートなグループチャットに侵入する能力を獲得します。さらに、彼らは連絡先リストを収集し、被害者を装って、信頼できる同僚に対する二次的なフィッシングキャンペーンを開始することができます。

推奨される対策

これらの洗練されたアカウント乗っ取り攻撃から防御するために、FBIとCISAはユーザーに厳格なセキュリティ衛生の実施を推奨しています。ユーザーは、誰とも検証コードや個人PINを共有してはならず、正当なサポート担当者は直接メッセージを通じて認証コードを要求することはないことを覚えておく必要があります。さらに、個人は予期しないセキュリティアラートに対して極度の注意を払い、未検証のリンクやQRコードを完全に避ける必要があります。

継続的なアカウントの整合性を確保するために、ユーザーはアプリケーションの設定内のリンクデバイスメニューを頻繁に監査して、不正なハードウェアを特定し、切断する必要があります。さらに、消滅メッセージ機能を有効にすると、非常に機密性の高い会話を特定の時間制限後に自動的に削除することで、追加の保護レイヤーを追加できます。

• 検証コードや個人PINを誰とも共有しない
• 予期しないセキュリティアラートに注意する
• リンクデバイスメニューを定期的に監査する
• 消滅メッセージ機能を有効にする

---

元記事: https://gbhackers.com/fbi-and-cisa-flag-russian-cyber-operations/