Genの研究者は、GhostPairingと名付けられた新しいWhatsAppアカウント乗っ取り手法を報告しました。この攻撃は一見ありふれていて疑いを招きにくいものの、最終的にはパスワードを破ったりSMSメッセージを傍受したりすることなく、被害者のチャット、メディアファイル、連絡先への完全なアクセスを攻撃者に与えてしまいます。
このキャンペーンはチェコ共和国で最初に確認され、侵害されたアカウントが見覚えのある連絡先に短いメッセージを送信し始めました。これらのメッセージは通常「写真がある」といった内容に触れ、Facebook風のプレビューとして提示されたリンクを含んでいました。クリックするとFacebookのブランドを模したシンプルなページに誘導され、コンテンツを見る前に何らかの操作を「確認」するよう促されました。
実際には、これらのサイトはFacebookとは無関係でした。写真や投稿を連想させるドメイン名を使い、WhatsAppの正規インフラへの仲介役として機能していました。被害者は新しいデバイスをリンクする手順へと誘導され、それが通常の認証手順に見えるよう偽装されていました。ある亜種ではQRコードが表示され、別の亜種では数字のコードが表示されて、それをアプリに入力するよう指示されました。
この攻撃の決定的な特徴は、被害者自身が不正なデバイスの接続を承認してしまう点にあります。WhatsAppの電話番号ペアリング機能を利用し、サイトが番号をWhatsAppに送信してペアリングコードを取得し、それをアプリに入力するよう指示とともに被害者に表示します。その結果、攻撃者のブラウザがリンク済みデバイスとして追加され、標準的なWhatsApp Webセッションと同等の権限を得ます。
その時点から、攻撃者は過去および受信中のメッセージを読み、メディアを閲覧・ダウンロードし、機微情報を収集し、アカウント所有者になりすまして新たな誘導を拡散できます。一方で、主端末のスマートフォンは通常どおり動作し続け、ユーザーが設定でリンク済みセッションの一覧を確認しない限り、追加デバイスの存在に気づかれないことが少なくありません。
この手口は対人関係の信頼を悪用して拡散します。攻撃者が1つのアカウントを侵害すると、そのユーザーの連絡先やグループチャットに同じ短いメッセージを送ります。短文で説明がないことがかえって警戒心を下げ、攻撃が急速に広がることを可能にします。
報告書の著者は、GhostPairingが正規のサービス機能のみに依存しており、秘密情報の窃取を必要としないと指摘しています。リンク済みデバイスは手動で削除されるまでアクセスを保持し続けるため、リスクはさらに増大します。対策として、デバイスリンク時の警告をより明確にすること、新しいセッションに関する通知をより詳細にすること、大量のペアリング試行に制限を設けることが脅威の軽減に役立つ可能性があるとしています。
この事例はWhatsAppに関するものですが、根底にある攻撃モデルは特定のアプリケーションに限りません。主要デバイス上でのコード入力や確認による迅速なペアリングに依存するサービスは、同様の悪用にさらされる可能性があります。GhostPairingは、ソーシャルエンジニアリングと正規機能の組み合わせが、気づかれにくく長期にわたるアカウント侵害を可能にし得ることを示す警鐘となっています。
