ハッカーがSignalのアプリ内メッセージ機能を悪用し、ユーザーをだましてバックアップの回復キーを入手しようとする新たなフィッシング攻撃が確認されています。攻撃者はこのキーを使って、長年にわたる秘密の会話記録を解読できます。
このキャンペーンでは「Signal Support」を名乗るメッセージが送りつけられ、データが失われる恐れがあると警告します。しかし実際には、被害者の暗号化されたチャットバックアップを盗み出すことを目的とした偽のメッセージです。
被害者のもとには「Signal Support」というアカウント名から直接メッセージが届きます。アプリ内には「名前が未確認」という警告と一般的な安全上の注意が表示されています。
メッセージには「要対応:データの回復が必要です」と記されており、同期の問題によりアカウントデータが永久に失われるリスクがあると主張し、メッセージやメディアを失わないよう早急な対応を促す内容になっています。
そして、Signalの設定を開き、バックアップに移動して回復キーを確認し、クリップボードにコピーしてチャットに貼り付けるよう指示します。
このメッセージは「既存のバックアップをアカウントにリンクする」ためだと虚偽の説明をしたうえで、応じなければすべての保存データへのアクセスを失う可能性があると警告します。フィッシング攻撃に典型的な、焦りと緊迫感を煽る手口です。
実際には、この操作はSignalの正規サポートチームとは一切無関係であり、標的ユーザーのバックアップ同期に問題は発生していません。
研究者やデジタル権利団体の報告によれば、複数の人物がほぼ同一のメッセージを受け取っており、これが無作為な詐欺ではなく、組織的なフィッシングキャンペーンであることが裏付けられています。
Signalユーザーを狙う攻撃者たち
報告によると、この攻撃はSignalのセキュアバックアップ機能を特に標的にしています。この機能では、チャットやメディアの暗号化されたコピーをSignalのサーバーに保存でき、ユーザーのデバイスから外に出ることのない固有の回復キーによって保護されています。
このキーはバックアップを復号する唯一の手段であるため、キーを入手してアカウントにアクセスできた攻撃者は、被害者のメッセージ履歴全体を平文でダウンロード・閲覧することが可能になります。
以前のSignalハイジャック攻撃が登録コードの窃取によるアカウント乗っ取りに重点を置いていたのとは異なり、今回のキャンペーンはアーカイブの窃取に特化しており、将来のメッセージではなく過去数年間の会話を狙っています。
セキュリティ専門家は、バックアップには古い文書、写真、機密性の高いやり取りが含まれていることが多く、Signalのインフラ上で暗号化されているため安全だとユーザーが思い込んでいる点を警告しています。
これまでの報告では、ジャーナリスト、反体制活動家、反中国共産党活動家が不均衡に標的にされており、政治的な動機、あるいは少なくとも監視目的を持つ脅威アクターの関与が示唆されています。
市民社会への脅威を追跡している人権擁護者や研究者もこのパターンを指摘しており、そうしたグループが安全な通信ツールの侵害を目的としたフィッシングキャンペーンに日常的に晒されていると指摘しています。
Signalは、アプリ内でユーザーに最初に連絡することは決してなく、いかなる状況においても登録コード、PIN、バックアップ回復キーを要求することはないと繰り返し強調しています。
つまり、「Signal Support」を名乗り機密コードやキーを要求するアプリ内チャットは、悪意のあるものとして無視すべきです。専門家は、そのようなアカウントは直ちにブロックして報告し、たとえアプリの一部であるかのように見えても、回復キー、ログインコード、PINをチャット画面に貼り付けないよう強く勧めています。
リスクを軽減するために、登録ロックを有効にし、強力なPINでSignalを保護し、デバイス変更アラートをオンにしておくことが推奨されています。これにより、アカウントを新しい端末に移行しようとする試みが明確に確認できるようになります。
デフォルトで消えるメッセージを使用することも、攻撃者がバックアップを入手した場合の被害を限定的にする有効な手段です。保存される過去のコンテンツが少なくなるためです。
ジャーナリスト、活動家、その他リスクの高いコミュニティを支援するセキュリティチームは、メンバーに対し、バックアップやアカウントに関する緊急のメッセージを受け取った際は懐疑的に捉え、行動を起こす前にSignalの公式ドキュメントや信頼できるセキュリティチャンネルで必ず確認するよう呼びかけています。
翻訳元: https://gbhackers.com/hackers-target-signal-users/
