研究者は、WhatsAppアカウントの乗っ取りを狙った進行中のキャンペーンを発見しました。彼らはこの攻撃をGhostPairingと名付けました。これは被害者をだましてWhatsApp本来のデバイス・ペアリング手順を完了させ、攻撃者のブラウザをアカウント上の見えないリンク済みデバイスとして密かに追加するものです。
WhatsApp過去の幽霊:あなた一人だった頃
デバイス・ペアリングにより、WhatsAppユーザーはアカウントに追加のデバイスを登録でき、ノートPCやWhatsApp Webからメッセージを読んだり返信したりできます。
類似のプラットフォームと比べると、WhatsAppの主な強みは強力なエンドツーエンド暗号化と、シームレスなクロスプラットフォーム利用です。しかしサイバー犯罪者は、そのクロスプラットフォーム利用を悪用して暗号化を回避する方法を見つけました。
「WhatsApp過去の幽霊」では、すべてが正常に見えます。そこにいるのはあなたと、接続するつもりだったデバイスだけです。後で生活を便利にしてくれる同じ仕組みが悪用され、招かれざる客を招き入れてしまいます。そして攻撃者がアカウントへ直接アクセスできるようになると、エンドツーエンド暗号化は無力化されます。
WhatsApp現在の幽霊:「あなたの写真を見つけたよ」の瞬間
つまり、すべて順調です。標的が「ねえ、これ見て。あなたの写真を見つけたよ!」といった内容のメッセージとリンクを受け取るまでは。
そのリンクと遷移先のウェブサイトは、Facebook(WhatsAppと同様にMetaが所有)に属しているように見えるよう設計されています。
この偽のログインページには、続行するため、または写真を見る前に確認するために、電話番号でログインするよう指示が表示されます。詐欺師は提供された電話番号を使って、その番号に対するWhatsAppの「デバイス・ペアリング」リクエストを送信します。
研究者は攻撃の2つの亜種を確認しました。1つは、スマートフォンのWhatsAppでスキャンするためのQRコードを提示するもの。もう1つは数値コードを送信し、それをWhatsAppに入力してログインを確認するようユーザーに指示するものです。
2つ目のシナリオでは、被害者がWhatsAppを開き、ペアリングのプロンプトを見てコードを入力し、通常の確認手順を完了していると思い込みます。しかし実際には、攻撃者のブラウザを新しいデバイスとしてリンクしてしまっています。
これは攻撃者が好む手口です。1つ目の方法では、ブラウザ上のQRコードがWhatsAppのQRコードスキャンと同じデバイス上で表示されます—QRコードは通常、別のデバイスを想定しています—そのため、人々が「本当は何が起きているのか」を考える余地が生まれる可能性があります。
WhatsApp未来の幽霊:幽霊が住み着くとき
WhatsAppアカウントへの新たなアクセス権を得ると、犯罪者は次のことが可能になります:
- 新着および同期されたメッセージをすべて読む。
- 写真、動画、ボイスノートをダウンロードする。
- 同じ「写真」誘導をあなたの連絡先に送って詐欺を拡散する。
- 個別チャットやグループチャットであなたになりすます。
- 将来の詐欺、ソーシャルエンジニアリング、恐喝に使うために、メッセージ、画像、その他の情報を収集する。
そして、実際のアカウント所有者が異常に気づく前に、その多くを実行できてしまいます。
この一連のことからスクルージが学べること
詐欺師がこのような手口でアカウントを乗っ取ろうとするのは、これが初めてではありません。Facebookでも、同様の詐欺が何度も波のように発生しています。
こうした誘い文句に引っかからないために取れる基本的な対策がいくつかあります。
- 頼んでもいないリンクは、たとえ信頼しているアカウントから届いたものであっても踏まないでください。送信者に安全かどうか確認しましょう。場合によっては、相手のアカウントが侵害されていることを親切に知らせることにもなります。
- WhatsAppで二段階認証を有効にする。これにより、攻撃者が設定・変更できないPINが追加され、他の乗っ取り手法の影響を軽減できます。
- プロンプトや通知を読むこと。私たちの多くは、実際に何をしているのか読まずに、できるだけ早く手順を終えるために正しいボタンを押すよう自分を訓練してしまっていますが、これは危険な習慣です。
もし被害に遭ってしまった場合は、次の対応をしてください。
- WhatsAppの連絡先に、あなたのアカウントが悪用された可能性があることを伝え、あなたから送られてきたかもしれない「写真」リンクや確認リクエストをクリックしないよう注意喚起してください。
- 直ちにアクセスを取り消す:設定 → リンク済みデバイスに移動し、明確に使用していないすべてのブラウザとデスクトップからログアウトしてください。迷った場合はすべて削除し、自分が所有するデバイスだけを再リンクしましょう。
