ドイツ当局がSignalアカウント乗っ取り攻撃を警告
ドイツの国内情報機関(BfV)と連邦情報セキュリティ庁(BSI)は、政府高官を標的としたメッセージングアプリのフィッシング攻撃について警告を発しました。この攻撃は、ドイツおよびヨーロッパ全域の政治家、軍関係者、外交官、調査ジャーナリストを狙っており、国家支援型と疑われる脅威アクターが関与していると見られています。
「この攻撃キャンペーンの決定的な特徴は、マルウェアを使用せず、メッセージングサービスの技術的な脆弱性を悪用していない点にある」と両機関は報告しています。攻撃の目的は、標的の1対1チャット、グループチャット、および連絡先リストへの秘密裏なアクセスを獲得することです。
巧妙なソーシャルエンジニアリングの手口
攻撃者は、メッセージングサービスのサポートチームやサポートチャットボットを装って、標的に直接接触します。この手口は、技術的な脆弱性ではなく、人間の心理を巧みに利用するソーシャルエンジニアリングに依存しています。
二つの主要な攻撃手法
報告されている攻撃には、主に以下の二つのバリエーションがあります。
- 完全なアカウント乗っ取り(Account Takeover): 攻撃者はSignalのサポートサービスを装い、偽のセキュリティ警告を送信して緊急性を煽ります。これにより、標的はSignal PINまたはSMS認証コードを共有するよう誘導され、攻撃者はその情報を使って自身のデバイスにアカウントを登録し、被害者をロックアウトします。
- デバイス連携による監視(Device Pairing): 攻撃者は、もっともらしい口実を使って標的にQRコードのスキャンを促します。これは、Signalが提供する正規のリンク済みデバイス機能(Linked devices)を悪用するもので、アカウントを複数のデバイスに連携させることを可能にします。この手法により、攻撃者は被害者のアカウントと自身が管理するデバイスを連携させ、被害者をロックアウトすることなくチャットや連絡先にアクセスします。
Signalでは「設定 > リンク済みデバイス」でアカウントに接続されているすべてのデバイスを確認できますが、ユーザーがこれを定期的にチェックすることは稀であると指摘されています。
Signal以外のアプリへの影響と攻撃者の背景
これらの攻撃はSignalで確認されていますが、BSIは同様の機能を持つWhatsAppも同様に悪用される可能性があると警告しています。
昨年、Googleの脅威研究者は、このQRコードペアリング技術がロシア国家関連の脅威グループ(Sandwormなど)によって利用されていることを報告しました。また、ウクライナのコンピューター緊急対応チーム(CERT-UA)も、WhatsAppアカウントを標的とした同様の攻撃をロシアのハッカーによるものとしています。しかし、現在ではサイバー犯罪者を含む複数の脅威アクターが、詐欺や不正行為のためにアカウントを乗っ取る「GhostPairing」のようなキャンペーンでこの技術を採用しています。
アカウント保護のための対策
ドイツ当局は、ユーザーに対し以下の対策を推奨しています。
- 偽のサポートアカウントへの返信を避ける: Signalはユーザーに直接連絡することはないため、このようなメッセージには返信せず、すぐにブロックして報告してください。
- 登録ロック(Registration Lock)の有効化: Signalの「設定 > アカウント」で「登録ロック」オプションを有効にし、PINを設定してください。これにより、誰かがあなたの電話番号でSignalアカウントを登録しようとした際にPINが要求され、不正な登録を防ぐことができます。
- リンク済みデバイスの定期的な確認: 「設定 > リンク済みデバイス」で、アカウントにアクセスしているデバイスのリストを定期的に確認し、身に覚えのないデバイスは削除してください。