イランとつながりのあるハッキング集団が、イスラエル高官の携帯電話を完全に侵害したと主張しているが、調査担当者は実際のところはより複雑だと述べている。
2025年12月、Handalaとして知られる同グループは、イスラエルの元首相ナフタリ・ベネット氏と、イスラエル首相府官房長官ツァヒ・ブラヴァーマン氏のモバイル端末に完全にアクセスしたと主張した。
「…分析の結果、侵害はTelegramアカウントのみに限定され、端末全体へのアクセスではなかったことが明らかになった」と、Kelaの研究者は述べた。
Telegramのデータ露出が明らかにしたこと
端末への完全なアクセスがなくても、高官が使用するメッセージングアカウントを掌握すれば、機微な通信内容、連絡先ネットワーク、運用上の文脈が露出し得る。
この事件は、アカウント乗っ取り—とりわけ信頼されているメッセージングプラットフォーム上でのもの—が、より高度なマルウェアベースの攻撃に匹敵するインテリジェンス価値をもたらし得ることを浮き彫りにしている。
Kelaの分析では、ベネット氏に帰属するとされた漏えいデータは、iPhoneのフォレンジック抽出によるものではなく、Telegram自体に由来していたことが判明した。
Handalaは、写真、動画、連絡先リストとともに、およそ1,900件の会話にアクセスしたと主張した。
実際には、露出したチャットの大半は、Telegramの同期中に自動生成された空の連絡先カードだった。
実際のメッセージを含む会話は約40件にとどまり、内容のあるやり取りが確認できたものはさらに少なかった。
露出した連絡先はすべて稼働中のTelegramアカウントに紐づいており、侵害が端末の侵害ではなくアカウントへのアクセスに起因することを裏付けている。
HandalaがTelegramアカウントを侵害した方法
研究者らは、Handalaが広く知られているものの依然として有効な手法を組み合わせてTelegramアカウントを侵害したと考えている。
有力な侵入経路の一つはSIMスワップで、被害者の電話番号の支配権を奪うことで、Telegramのログイン確認コードを受け取れるようにする手口だ。
別の可能性として、通信ネットワークにおけるSS7シグナリングの弱点を悪用し、SMSベースのワンタイムパスワードを傍受することも考えられる。
攻撃者はまた、偽のTelegramログインページ、悪意あるQRコード、あるいはサポート担当者になりすますことで、被害者をだまして確認コードを開示させた可能性もある。
場合によっては、攻撃者がワンタイムパスワードの音声通話による配信を発生させ、既定のまま、または変更されていないPINで保護されたボイスメールシステムからそれを取得できた可能性がある。
Telegram Desktopのセッションハイジャックの仕組み
研究者が特定した懸念すべき経路の一つは、Telegram Desktopを介したセッションハイジャックだ。
同アプリケーションは、アクティブな認証データをtdataフォルダとして知られるディレクトリに保存する。
攻撃者がこのフォルダを入手できれば—事前のシステムアクセス、二次デバイス上のマルウェア、または内部者による侵害を通じて—別のシステムで復元し、ワンタイムパスワードや多要素認証を発動させることなくアカウントへ完全にアクセスできる。
第二の認証要素を追加するTelegramの任意のクラウドパスワードは、既定では無効になっている。
その結果、有効な確認コードを1つ入手するだけで、アカウントへの完全なアクセスが可能になり得る。
さらに、標準のTelegramチャットはエンドツーエンドで暗号化されておらず、Telegramサーバー上にクラウドチャットとして保存されるため、アカウント乗っ取り時に露出するデータ量が増える。
メッセージングアプリのセキュリティにおけるリスク低減
リスク低減には、より強固な本人確認の統制、より厳格なプラットフォーム統治、そしてアカウント挙動の可視性向上を組み合わせることが必要だ。
- フィッシング耐性のある認証を強制し、Telegramのクラウドパスワード機能を有効化し、アクティブなセッションを定期的に監査して、アカウント乗っ取りのリスクを低減する。
- キャリア側の番号移転(ポートアウト)保護を実装してSIMベース攻撃への露出を減らし、高リスクユーザーに対してSMSや音声ベースの検証への依存を最小化する。
- 新規デバイスでのログイン、予期しないセッションの継続、セキュリティ設定の変更などを含む、異常なメッセージングアカウントの挙動を監視する。
- メッセージングアプリの認証ファイルへのアクセス監視を含め、セッションハイジャックを防ぐために役員端末のエンドポイントセキュリティを強化する。
- 機微な議論を制限し、高リスクの通信には安全な代替手段を要求するポリシーを定義して、メッセージングプラットフォームの利用方法を制限する。
- 国家と連携する脅威アクターに狙われやすい役員およびスタッフに対し、対象を絞ったセキュリティ意識向上トレーニングを提供する。
これらの対策は、サイバーレジリエンスの構築に役立ち、被害範囲(ブラスト半径)を縮小する。
政治的ハクティビズムとメッセージングプラットフォームの交差
Handalaは2023年後半に初めて出現し、それ以来、露骨な親イラン・親パレスチナのメッセージ発信と作戦を結び付けながら、イスラエルの組織や個人に継続的に焦点を当ててきた。
Telegram侵害の後、同グループはBreachForumsなどのプラットフォームで盗まれたデータを宣伝し、この作戦を技術的高度さの誇示というより、心理的・政治的な声明として位置付けた。
広報と物語の影響を重視する姿勢は、データ窃取が認知に影響を与え、標的を威嚇し、イデオロギー目標を増幅するためにますます利用されていることを示している。
より広い観点では、この活動は根強い現実を浮き彫りにする。すなわち、既定の設定、セッション制御、本人確認の保護が不十分な場合、メッセージングプラットフォーム、コラボレーションツール、クラウドサービスは依然として魅力的な標的であり続ける。
Handalaのようなグループが脆弱なアイデンティティおよびセッション制御を悪用する中、組織はユーザーと挙動を継続的に検証するゼロトラストの原則を採用しなければならない。
翻訳元: https://www.esecurityplanet.com/threats/handala-leak-shows-telegram-account-risk-not-iphone-hacks/
