- ハッカーはパスワードや暗号化を解読せずともWhatsAppアカウントを乗っ取れる
- GhostPairing攻撃は正規のデバイス連携機能を悪用し、アカウントへの完全なアクセスを得る
- ユーザーは偽のFacebookログインページにだまされ、攻撃者を承認してしまう
セキュリティ研究者は、パスワードの突破や暗号化の回避に依存しない、増加中のアカウント乗っ取り手法についてWhatsAppユーザーに警告している。
攻撃者はWhatsAppの正規のデバイス連携機能を悪用し、被害者のアカウントに自分のブラウザをひそかに紐づける。
いったん連携されると、攻撃者はメッセージをリアルタイムで読み、共有メディアをダウンロードし、被害者本人から送られたように見えるメッセージを送信できる。
連携機能がどのように悪用されるのか
GhostPairingと呼ばれるこの攻撃は、信頼できる連絡先から届いたように見える短いメッセージから始まる。
そのメッセージには通常、受信者の写真を表示すると主張するリンクが含まれている。
信ぴょう性を高めるため、リンクのプレビューはFacebookのコンテンツに似せられていることが多い。
リンクをクリックすると、被害者は見た目が似たドメイン上でホストされた偽のFacebookログインページへリダイレクトされる。
しかし、そこで何かを検証するのではなく、そのページはWhatsAppのデバイス連携(ペアリング)手順を開始する。
被害者は偽ページで電話番号の入力を求められ、これにより攻撃者は正規のペアリング要求を発生させられる。
その後WhatsAppがペアリングコードを生成し、攻撃者はそれを不正サイト上に表示する。
被害者はこのコードをWhatsApp内で入力するよう指示され、新しい連携デバイスを無自覚のまま承認してしまう。
WhatsAppはデバイスが追加されることを明確に示しているものの、研究者によれば、多くのユーザーは手続き中にそのメッセージを見落としたり誤解したりするという。
ペアリングが完了すると、攻撃者は認証情報を必要とせずにアカウントへの完全なアクセスを得る。
Gen Digitalは、多くの被害者が、裏で追加のデバイスが連携されたことに気づかないままだと警告している。
これにより犯罪者は会話を監視し、機微情報を収集し、被害者になりすまし、同じ誘い文句を連絡先やグループチャットへ拡散できる。
研究者は以前にも、他のメッセージングプラットフォームを狙った攻撃で同様のデバイス連携の悪用を確認している。
この種の侵害を検知する唯一の確実な方法は、WhatsAppの設定内にある「連携済みデバイス」セクションを手動で確認することだ。
一覧に見覚えのないデバイスがあれば、速やかにアカウントから削除すべきである。
また、疑わしいメッセージを報告し、二要素認証を含む追加のアカウント保護を有効にすることも推奨されている。
ウイルス対策ソフトなどのツールは悪意あるウェブサイトの検知に役立つ可能性があり、さらなる侵害が疑われる場合にはマルウェア除去ソリューションが支援となる。
個人データが漏えいした後の被害軽減には身元盗用対策サービスが有効な場合があるが、アカウント乗っ取りそのものを防ぐわけではない。
この悪用は、プラットフォームが機微な操作の際に警告を表示していても、ユーザーの注意力が依然として重大な弱点であることを示している。
