FBIは、ロシアの情報機関員がハイリスクなユーザーのSignalアカウントからバックアップ回復キーを窃取しようとしていると警告しています。
6月26日に発表された新たな公式告知(PSA)によると、連邦保安庁(FSB)要員や軍事ハッカーを含む「複数のクラスター」のロシア諜報員が関与していることが明らかになりました。攻撃対象には、現職・元職の米国および各国政府高官、軍関係者、政治家、ジャーナリスト、ウクライナ当局者が含まれています。
PSAでは「商用メッセージングアプリケーション(CMA)」と総称して記載されていましたが、更新情報に含まれたフィッシングメッセージのサンプル2件はいずれもSignalに関連するものでした。
「ロシア情報機関(RIS)のサイバー脅威アクターは、更新されたフィッシングメッセージにおいても引き続きCMAの自動サポートアカウントに成りすましていますが、被害者のバックアップ回復キーを引き出そうとする形に戦術を進化させています」と同PSAは述べています。
「RISのサイバー脅威アクターは、引き続き被害者の確認コードやアカウントPINを引き出そうとしています。ターゲットにされたユーザーがCMAのメッセージをバックアップし……その後バックアップ回復キーを提供した場合、RISのサイバー脅威アクターはそのアカウントの過去のメッセージ、プライベートおよびグループメッセージを閲覧し、被害者のアカウントを乗っ取ることが可能になります。」
メッセージングアプリを標的にしたロシアの活動についてさらに詳しく:ロシアのハッカー、メッセージングアプリ経由でウクライナ軍人を標的に
FBIはまた、回復キーを第三者と共有してしまった場合、同じ電話番号で新しいアカウントを作成しても、そのキーは引き続き有効であり、将来的に新しいアカウントも危険にさらされると警告しています。
「このリスクを軽減するには、ユーザーは設定メニュー内で新しいバックアップ回復キーを生成する必要があります。この操作により、以後のバックアップダウンロードに対して旧キーは無効化されます」と同PSAは続けています。「ただし、これによって攻撃者がすでに元のアカウントのバックアップをダウンロード済みである状況を防ぐことはできません。」
Signalのセキュリティに関する注意点
このロシアの攻撃キャンペーンが初めて明るみに出たのは2026年3月のことです。オランダの国内情報機関(AIVD)と軍事情報機関(MIVD)が、国内の政府職員の一部がSignalおよびWhatsAppアカウントを狙ったハッキングキャンペーンの被害を受けたと警告したことがきっかけでした。
被害者は通常、SignalのチャットボットからPINや確認コードの入力を求めるフィッシングメッセージを受け取っていました。また別の手口として、ウクライナ当局者を標的とした過去のキャンペーンと同様に、ハッカーがデバイスリンク機能の悪用を試みたケースも確認されています。
FBIのPSAでは、Signalユーザー向けに以下の注意事項が示されています。
- CMAのサポートサービスは、公式の企業メールアドレスを通じてのみユーザーと連絡を取ります
- 正規のCMAサポートサービスは、アプリケーション内で確認コードを要求しません
- CMAのサポートサービスは、アカウントの「確認」や「復元」を促すリンクをユーザーに送ることはありません
- 正規のCMA連絡チャネルからのリクエストであることを確認せずに、確認コードを提供しないでください
画像クレジット:Camilo Concha / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/fbi-alarm-russian-intelligence/
