FBIとサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年6月26日、Signalなどの商用メッセージアプリ(CMA)のユーザーを標的としたロシア情報機関(RIS)による積極的なフィッシングキャンペーンについて、注意を呼びかける公共サービスアナウンスメント(PSA)の更新版を発表しました。
この共同勧告は2026年3月20日付のPSAを更新するもので、UNC5792およびUNC4221として公開追跡されているRISのサイバー脅威アクターが、高価値ターゲットに対して高度なフィッシング作戦を展開していることを特定しています。
標的には、米国および各国の現職・元政府高官、軍関係者、政治家、ジャーナリスト、そしてウクライナに在籍する主要人物が含まれています。
FBIは重要な点として確認していますが、脅威アクターはCMAの暗号化機能やアプリケーション自体を侵害したわけではありません。ただし、個々のアカウントは引き続き危険にさらされています。
以前のキャンペーンでは確認コードやアカウントPINの窃取が中心でしたが、RISのアクターは手口を進化させ、現在はバックアップ回復キー(Backup Recovery Key)を標的とするようになっており、特に危険なエスカレーションといえます。
攻撃は計算された2段階のシーケンスで進行します。
この手口が特に深刻な理由があります。被害者が侵害後に同じ電話番号で新しいアカウントを作成した場合、窃取された回復キーは引き続き有効であり、新しいアカウントの乗っ取りにも悪用される可能性があります。
唯一の対策は、「設定」→「バックアップ」から手動で新しいバックアップ回復キーを生成することです。これにより旧キーは無効化されますが、攻撃者がすでにダウンロードしたバックアップを取り消すことはできません。
CISAによれば、脅威アクターはCMAの公式通知を巧みに模倣した偽サポートメッセージを展開しています。
サンプルメッセージの一例では、「同期の問題」によりデータが永久に失われると警告したうえで、「設定」→「バックアップ」→「回復キーを表示」と進み、キーをチャットに直接貼り付けるよう指示しています。これは緊急性と恐怖心を利用してユーザーの警戒心を解くことを目的とした、典型的なソーシャルエンジニアリングの手口です。
FBIは、正規のCMAサポートは公式企業のメールアドレスを通じてのみ連絡を行い、アプリ内で確認コードを要求することは絶対にないと強調しています。
正規のサポートがアカウントの「確認」や「復元」を求めるリンクを送ることはなく、ユーザーはいかなる確認要求にも応じる前に、必ず公式の連絡チャネルを通じて要求の正当性を確認してください。
要求の正当性を独自に確認することなく、確認コードや回復キーを提供することは絶対に避けてください。
このキャンペーンの被害者または目撃者は、IC3.govへの被害申告、最寄りのFBI地方事務所への連絡、またはCISAの24時間365日対応オペレーションセンターへの報告が推奨されています。
翻訳元: https://cyberpress.org/fbi-russian-impersonate-support-accounts/
