TokyoBlackHatNews

meterpreter.org 4分で読了

WhatsAppの罠:偽の会議招待が著名人の生活を乗っ取った方法

すべては、たった一通のWhatsAppメッセージから始まった。英国在住のイラン人活動家ナリマン・ガリブは、オンライン会議への招待を装ったリンクを受け取った。罠だと察した彼は、仲間に警告することを決めた。その後、黒塗りしたスクリーンショットを公開すると、たちまち注目を集めた。これほど洗練された誘い文句は、無差別な勧誘ではなく、特定の人物を狙った計算された捕食的な“狩り”を示すのが常だからだ。

TechCrunchによれば、そのリンクは、イラン関連のユーザーや拡大する抗議運動に関わる人々に向けて綿密に調整された、多段階のフィッシング連鎖を隠していた。このキャンペーンは、国内で厳しい通信制限が敷かれる状況と、サイバー上の対立が激化する局面のさなかに展開された。そこでは、イランおよび親イランの集団が長年にわたり強固な存在感を維持してきた。

主要リンクの分析により、偽ページのソースコードを取得できた。攻撃者の狙いは、Gmailや付随サービスの認証情報を収集するだけではなく、WhatsAppアカウントの乗っ取りにもあった。さらに、その基盤となる構造は、位置情報データ、カメラ映像、マイクへの不正アクセスによる侵入的な監視を試みていたことを示していた。

この策略の要は、DuckDNS上でホストされたドメインだった。このダイナミックDNSサービスにより、犯行側はIPが頻繁に変わるサーバーにもっともらしいアドレスを紐づけられ、誘いの正当性を高めつつ、フォレンジック追跡を困難にした。調査によれば、インフラは基本的に、2025年11月上旬に登録されたドメインalex-fabow.onlineに結びついており、さらにmeet-safe.onlinewhats-login.onlineといった、仮想会議プラットフォームを装う周辺ドメイン群も併存していた。

戦術的なシナリオは、獲物に合わせて柔軟に変化した。偽のGmailログインへ誘導される者もいれば、電話番号の入力を求められ、その後、段階的にパスワードと二要素認証(2FA)コードが抜き取られる者もいた。バックエンドは、誤入力を含むあらゆるキーストロークを記録するよう設計されており、正しい組み合わせを捕捉できる確率を大幅に高めていた。

運用上の重大な不手際として、攻撃者のサーバーは設定不備の状態で発見された。TechCrunchは、被害者の操作記録が850件以上含まれる、保護されていないログファイルの存在を明らかにした。そこには平文のログイン情報、パスワード、2FAトークンが含まれていた。ユーザーエージェント文字列のテレメトリにより、この攻撃がクロスプラットフォームであり、Windows、macOS、iPhone、Androidを同時に標的としていたことが確認された。

侵害された人物の属性は、偶然とは到底言えないことを示している。ログには、国家安全保障を専門とする学者、イスラエルのドローンメーカーの幹部、レバノンの高位閣僚、少なくとも1人のジャーナリスト、そして米国の電話番号を持つ複数のユーザーが記録されていた。これらのログに直接結びつく侵害の確認件数は50件未満にとどまるものの、実際の被害範囲が、この発見されたデータセットを超えて広がっている可能性は極めて高い。

攻撃の特化した分岐は、WhatsAppの乗っ取りに焦点を当てていた。ガリブが遭遇した版では、WhatsAppの見た目を模したページにQRコードが表示された。仮想ルームへの招待として提示されたその促しは、実際には「リンク済みデバイス」機能を通じて、ユーザーに自分のアカウントを攻撃者の端末へ紐づけさせるための誘導だった。

スクリプトはさらに、位置情報およびマルチメディアへのアクセスについてブラウザ権限の付与を求めた。被害者が同意していれば、座標は攻撃者へ送信され、セッションの間、数秒ごとに更新され続けたはずだ。カメラとマイクも同様に、画像や短い録音を取得するために断続的に起動できるよう準備されていた。

このキャンペーンの帰属は、依然として曖昧なままだ。専門家の一部は、国際的な到達範囲やWhatsAppへの戦略的な注力を根拠に、イランの国家支援組織に典型的なスピアフィッシングの特徴があると指摘した。一方で、別の研究者は、金銭目的のサイバー犯罪活動により近いパターンを見いだした。第三の仮説として、国家主体が直接の責任を隠すため、代理として犯罪シンジケートを関与させた可能性も示唆されている。

主要なフィッシングサイトはその後解体されたが、この出来事は、根本的な脆弱性を痛烈に思い起こさせる。すなわち、私たちがメッセージングプラットフォーム上の私的なやり取りに置いている“内在的な信頼”である。見た目がどれほどもっともらしくても、予期しない会議招待や認証の促しは、深い疑念をもって扱わなければならない。

翻訳元: https://meterpreter.org/the-whatsapp-trap-how-a-fake-meeting-invite-hijacked-high-profile-lives/

ソース: meterpreter.org
#DuckDNS(ダイナミックDNS) #Gmail #Linked Devices(リンク端末)悪用 #WhatsApp #イラン関連ターゲット #サイバー監視・スパイ活動 #スピアフィッシング #フィッシング詐欺 #中東情勢 #二要素認証(2FA)

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす