概要：Signalアプリを狙う新たな脅威

ドイツの情報機関である連邦憲法擁護庁 (BfV) および連邦情報セキュリティ庁 (BSI) は、国家支援型と疑われるハッキンググループによる新たなスパイ活動について警告を発しました。このキャンペーンは、ヨーロッパの軍関係者、外交官、政治家、そして調査ジャーナリストといった高位の個人を標的としています。

特筆すべきは、攻撃者が従来のマルウェアや技術的な脆弱性を悪用するのではなく、Signalメッセージングアプリの正規のセキュリティ機能を逆手に取り、「ソーシャルエンジニアリング」によってユーザーを欺いている点です。この手口の目的は、技術的なアラートを発生させることなく、プライベートなチャット、グループ会話、連絡先リストへのアクセスを密かに獲得することにあります。

手口1：「Signalサポート」を装ったアカウント乗っ取り

最初に確認された手口は、直接的なアカウント乗っ取りです。攻撃者は標的に対し、「Signalサポート」または「Signalセキュリティチャットボット」を装ったメッセージを送信します。メッセージは通常、ユーザーのデバイスで不審なアクティビティやデータ漏洩が検出されたと主張し、アカウントを「保護」するためとして、6桁の認証コードの提供を緊急に要求します。

しかし、これは攻撃者が被害者の電話番号で管理下のデバイス上で登録要求をトリガーした結果です。もし被害者がSMS認証コードやSignal PINを偽のサポートボットと共有してしまうと、攻撃者は自分のデバイスにアカウントを登録することに成功し、正当なユーザーをロックアウトしてそのアカウントを乗っ取ってしまいます。

手口2：QRコードスキャンによる会話盗聴

第二の手口は、被害者がアカウントへのアクセスを保持したまま会話を盗聴することを可能にします。攻撃者は標的を欺き、「セカンドデバイスの認証」や「接続問題の修正」といった虚偽の口実の下で、QRコードをスキャンさせます。

SignalはWhatsAppと同様に、QRコードをスキャンすることで追加のデバイス（タブレットやデスクトップなど）をリンクする機能を提供しています。被害者に攻撃者が制御するQRコードをスキャンさせることで、ハッカーは自分のデバイスを被害者のアカウントにリンクさせることができます。これにより、新しいメッセージの読み取り、連絡先リストの表示、さらには過去45日間のチャット履歴への永続的なアクセスが可能になります。

身を守るための対策

情報機関は、このキャンペーンが特に危険である理由として、携帯電話をウイルスに感染させることに依存していない点を強調しています。これは人間の信頼とアプリの標準機能を悪用しているためです。BSIとBfVは、ユーザーに対して以下の対策を強く推奨しています。

• Signal PINやSMSコードを誰とも共有しない：Signalサポートがチャットでこれらを要求することはありません。
• 「リンクされたデバイス」リストを定期的に確認する：アプリの設定で、身に覚えのない接続は直ちに削除してください。
• 「登録ロック」機能を有効にする：Signalの設定でこの機能を有効にすることで、ユーザーの特定のPINなしに攻撃者が番号を再登録することを防ぎ、追加の保護層を提供します。

元記事: https://gbhackers.com/hackers-target-military-officials/