- ロシア情報機関が、ウクライナに駐在する当局者のSignalアカウントを標的に
- Signalサポートサービスを装い、ユーザーにバックアップ回復キーの提出を要求
- このキーを悪用することで、ハッカーは被害者のアカウントおよび同じ携帯電話番号で作成された他のアカウントも乗っ取ることが可能
FBIは、ロシア情報機関が市販のメッセージングアプリのサポートサービスを装い、米国・欧州・ウクライナの軍および政府における高価値ターゲットのバックアップ回復キーを窃取しようとしていると警告を発しました。
FBIはCISAおよびウクライナ保安局(SSU)との共同警告において、メッセージングアカウントへのアクセスを通じて機密情報の収集を狙う新たなフィッシングキャンペーンの手口を詳しく説明しました。
FBIはSignalメッセージングアプリのユーザーを標的とするフィッシング誘導のサンプルも公開しています。ハッカーが被害者をうまく誘導してバックアップ回復キーを共有させた場合、アカウントのメッセージ履歴や個人・グループメッセージへのアクセスが可能となり、アカウントを完全に乗っ取られる恐れがあります。
FBIの警告では、フィッシング手法がさらに詳しく説明されています。ロシア連邦保安局(FSB)は、ウクライナに駐在する米国および欧州の政府当局者、軍関係者、政治家、ジャーナリスト、主要関係者を標的にしています。
攻撃者はSignalからの自動メッセージを装ったメールを送信し、バックアップ回復キーを使用してメッセージバックアップを有効にするよう促します。被害者には虚偽の手順が示され、その操作によってバックアップ回復キーが攻撃者へ送信される仕組みになっています。攻撃者はこのキーを使って被害者のアカウントを乗っ取ります。
攻撃者は緊急性と正当性を演出するため、フィッシングメッセージを「イランおよびソビエト連邦崩壊後の国々からの最近のハッキング試みに対する保護措置」として偽装しました。別のサンプルメッセージでは、「同期の問題により、アカウントデータが永久に失われる恐れがあります」と記載されています。
被害者が固有のバックアップ回復キーを共有してしまった場合、攻撃者は現在のSignalアカウントに加え、同じ電話番号で作成された以降のアカウントも乗っ取ることができます。
バックアップ回復キーが漏洩した可能性を懸念するユーザーは、Signalの設定から新しいバックアップ回復キーを作成するよう案内されています。新しいキーを作成すると以前のバックアップ回復キーはすべて無効化されるため、旧キーが漏洩していた場合でもアカウントの乗っ取りを防ぐことができます。
フィッシングメッセージの被害を防ぐために、以下の対策が有効です。
- サポートサービスは通常、公式企業メールアドレスを通じてのみユーザーに連絡します。公式メールアドレスからの連絡かどうか、必ず注意深く確認してください
- カスタマーサポートがアプリを通じてバックアップ回復キーの提供を求めることはありません
- 自動カスタマーサポートメッセージでアカウントの確認や復元を求められることは一切ありません
Signalアカウントやその他のアカウントをフィッシングからさらに守るために、以下の対策も検討してください。
- 可能な限りパスキーを使用してください。デバイスに内蔵された生体認証を利用してログインを認証します
- 可能な場合はフィッシング耐性のある多要素認証を利用してください
- メッセージやメールが正規のものであり、公式企業メールを使用しているか必ず確認してください
- 正規サービスを通じてアカウントへのアクセス回復を試みている場合を除き、バックアップ回復キーを絶対に提供しないでください
