WhatsAppアカウント乗っ取りを狙う「GhostPairing」攻撃の概要
脅威アクターが、WhatsAppの正当なデバイスリンク機能を悪用し、ペアリングコードを通じてアカウントを乗っ取る「GhostPairing」と呼ばれる新たなキャンペーンを展開しています。この種の攻撃は、認証を必要とせず、被害者を欺いて攻撃者のブラウザとWhatsAppデバイスをリンクさせることで実行されます。
これにより、攻撃者は会話履歴や共有メディアへの完全なアクセス権を獲得し、これらの情報を用いて被害者になりすましたり、詐欺行為を働いたりする可能性があります。Gen Digital(旧Symantec CorporationおよびNortonLifeLock)によると、このキャンペーンは当初チェコで確認されましたが、その伝播メカニズムにより他の地域にも拡大する危険性があると警告しています。乗っ取られたアカウントは、新たな標的に到達するための足がかりとして悪用されます。
「GhostPairing」攻撃の具体的な手口
「GhostPairing」攻撃は以下の手順で進行します。
- 偽のメッセージから開始:攻撃は、既知の連絡先からの短いメッセージから始まります。このメッセージには、被害者のオンライン写真とされるリンクが含まれています。信頼性を高めるため、このリンクはFacebookからのコンテンツプレビューとして表示されます。
- 偽の認証ページへの誘導:リンクをクリックすると、被害者はタイポスクワッティングされた、あるいは類似したドメインでホストされている偽のFacebookページに誘導されます。このページでは、コンテンツにアクセスする前にログインによる認証が必要であると説明されます。
- デバイスペアリングの悪用:この偽の認証ページが、実際にはWhatsAppのデバイスペアリングワークフローをトリガーします。被害者は電話番号の入力を求められ、攻撃者はその情報を使用して正規のデバイスリンクまたはログインプロセスを開始します。
- ペアリングコードの入力要求:WhatsAppはデバイスをリンクするためのペアリングコードを生成し、攻撃者はそのコードを偽のページに表示します。同時に、WhatsAppは被害者に対し、新しいデバイスをアカウントにリンクするためにそのコードを入力するよう促す通知を送信します。WhatsAppのメッセージは新しいデバイスをリンクしようとしていることを明確に示していますが、被害者はこの警告を見落とす可能性があります。
- アカウントへの完全アクセス:被害者がペアリングコードを入力すると、攻撃者は何の保護も迂回することなく、アカウントへの完全なアクセス権を手に入れます。WhatsApp Webを通じて、攻撃者はリアルタイムで新しいメッセージにアクセスできるほか、共有されたメディアの閲覧やダウンロードも可能です。また、同じ誘導メッセージを連絡先やグループに転送することもできます。
攻撃の危険性と対策
Gen Digitalは、「多くの被害者は、バックグラウンドで2台目のデバイスが追加されたことに気づいていない。これがこの詐欺をさらに危険なものにしている。犯罪者はあなたの知らないうちにあなたのアカウントに潜み、あなたの会話すべてを監視している」と警告しています。
アカウントが乗っ取られた兆候を発見する唯一の方法は、「設定」→「リンク済みデバイス」に移動し、不正にリンクされているデバイスがないか確認することです。
ユーザーは以下の対策を講じることで、このような攻撃から身を守ることができます。
- 不審なメッセージのブロックと報告:疑わしいメッセージはブロックし、報告してください。
- 二段階認証の有効化:アカウントの保護のため、二段階認証(2FA)を有効にしてください。
- 冷静な判断:行動を急かされるような状況では、時間をかけてメッセージの内容を分析し、連絡してきた人物が本当にその人物であるかを確認することが重要です。
なお、デバイスのリンクはQRコードをスキャンすることでも可能であり、過去にはロシアの脅威アクターが同様の手法でSignalアカウントへのアクセスを得るために悪用した事例もあります。