米国のサイバーセキュリティ当局が、セキュアメッセージングプラットフォームを標的としたロシア諜報機関に関連する脅威アクターについて、新たな警告を発しました。今回は特にSignalユーザーへのリスクが高まっているとして注意が呼びかけられています。
これらの脅威アクターは、認証コードやアカウントPINを盗み出すために巧妙なフィッシングキャンペーンを展開しています。
2026年6月26日に発表された共同公共サービスアナウンスメント(PSA)において、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と連邦捜査局(FBI)は、ロシア情報機関(RIS)が商用メッセージングアプリへの信頼を悪用し、機密通信への不正アクセスを積極的に試みていることを明らかにしました。
FBIとCISAによるロシアハッカーへの警告
今回の勧告は、2026年3月に初めて記録された活動の継続と進化を示すものです。攻撃者は、組み込みのセキュリティ保護機能を回避するためのソーシャルエンジニアリング手法をさらに洗練させています。
PSAによると、これらの脅威アクターは信頼できる連絡先、サービスプロバイダー、またはセキュリティチームを装い、ユーザーをだましてSignalアカウントのワンタイム認証コードやアカウント登録PINを開示させようとしています。
SecurityProducts & Services
これらの認証情報を入手した攻撃者は、アカウントを乗っ取り、メッセージを傍受し、さらに被害者になりすましてより深い侵害を行う可能性があります。
研究者らは、Signalのエンドツーエンド暗号化そのものは無傷であるものの、これらの攻撃は暗号の脆弱性ではなく人間の行動を悪用していると指摘しています。
アカウントの回復、緊急のセキュリティアラート、デバイスの再登録などを口実に認証コードを共有させることで、攻撃者は被害者のアカウントを別のデバイスに実質的に登録することができます。
また、SMSやアプリ内通知で受け取った認証コードをリアルタイムで転送させるリアルタイムフィッシング手法が使われるケースも確認されています。
このキャンペーンは、政府機関関係者、軍人、ジャーナリスト、活動家など、ロシアの諜報活動が関心を持つ人物を標的にしていると見られています。
ただしCISAとFBIは、使用されている手口は汎用性が高く、セキュアメッセージングプラットフォームを機密通信に利用しているすべてのユーザーに影響を及ぼす可能性があると警告しています。
PSAでは最近のキャンペーンで確認された追加の手口についても説明しており、正規のSignalグループ招待を装った悪意あるリンクの使用、認証ポータルを模倣したクレデンシャル収集ページ、公式サービスに似せたスプーフィングドメインなどが挙げられています。
これらの手口は多くの場合、緊迫感と社会的プレッシャーを組み合わせて成功率を高めており、特にユーザーが素早く行動しやすいモバイル中心の環境で効果を発揮しています。
リスク軽減に向けてCISAとFBIは、いくつかのセキュリティベストプラクティスを推奨しています。具体的には、アカウントの再登録にPINを必要とするSignalの「登録ロック」機能を有効にすること、そしていかなる状況下でも認証コードやPINを他者と共有しないことが挙げられています。
また、別の通信手段で要求の正当性を確認すること、既知の連絡先からの予期せぬメッセージにも注意を払うこと、そして追加の脆弱性にさらされるリスクを減らすためにデバイスやアプリを常に最新の状態に保つことも推奨されています。
今回の勧告は、国家レベルの脅威アクターが暗号を破るのではなく、ユーザーの行動と信頼を悪用してコミュニケーションプラットフォームを標的にするという広範なトレンドを浮き彫りにしています。
セキュアメッセージングアプリが個人・業務両面の通信において重要な役割を担い続ける中、アカウントの完全性と機密性を損なうことを狙った巧妙化するフィッシング手口に対して、組織および個人が引き続き警戒を怠らないよう強く求められています。
翻訳元: https://gbhackers.com/fbi-and-cisa-warn-russian-hackers-stealing-verification-codes/
