ドイツの国内情報機関は、Signalなどのメッセージングアプリを介したフィッシング攻撃で、高位の人物を狙う国家支援が疑われる脅威アクターについて警告している。
これらの攻撃は、ソーシャルエンジニアリングと正規機能を組み合わせ、ドイツおよび欧州各地の政治家、軍関係者、外交官、調査報道記者からデータを盗み取る。
このセキュリティ勧告は、連邦憲法擁護庁(BfV)と連邦情報セキュリティ庁(BSI)が収集した情報に基づいている。
「この攻撃キャンペーンの決定的な特徴は、マルウェアを使用せず、メッセージングサービスの技術的脆弱性も悪用しない点だ」と、両機関は伝えている。
勧告によると、攻撃者はメッセージングサービスのサポートチーム、またはサポート用チャットボットを装い、標的に直接連絡する。
「目的は、影響を受けた人物の1対1およびグループチャット、ならびに連絡先リストへ密かにアクセスすることだ」
これらの攻撃には2つのバージョンがある。1つはアカウントを完全に乗っ取るもの、もう1つは攻撃者の端末とアカウントをペアリングしてチャット活動を監視するものだ。
最初の亜種では、攻撃者がSignalのサポートサービスになりすまし、緊急性をあおる偽のセキュリティ警告を送信する。
その後、標的はSignalのPINやSMSの認証コードを共有するようだまされ、攻撃者はそれによって自分が管理する端末にアカウントを登録できる。続いてアカウントを乗っ取り、被害者を締め出す。
出典: BSI
2つ目のケースでは、攻撃者はもっともらしい口実を使って、標的にQRコードをスキャンさせる。これは、アカウントを複数の端末(PC、タブレット、スマートフォン)に追加できるSignalの正規の「リンク済み端末」機能を悪用するものだ。
その結果、被害者のアカウントは攻撃者が管理する端末とペアリングされ、攻撃者は警告を発生させることなくチャットと連絡先にアクセスできる。
出典: BSI
Signalでは、アカウントに紐づくすべての端末が設定 > リンク済み端末に表示されるが、ユーザーが確認することはほとんどない。
この種の攻撃はSignalで発生していることが確認されているが、この速報では、WhatsAppも同様の機能をサポートしており、同じ方法で悪用される可能性があると警告している。
昨年、Googleの脅威研究者は、QRコードによるペアリング手法がSandwormなどのロシア国家系の脅威グループによって用いられたと報告した。
ウクライナのコンピュータ緊急対応チーム(CERT-UA)も、WhatsAppアカウントを標的とした同様の攻撃をロシアのハッカーによるものだと帰属させている。
しかしその後、サイバー犯罪者を含む複数の脅威アクターがこの手法を採用し、GhostPairingのようなキャンペーンで、詐欺や不正のためにアカウントを乗っ取っている。
ドイツ当局は、メッセージングプラットフォームがユーザーに直接連絡することはないため、サポートを名乗るアカウントからのSignalメッセージには返信しないよう勧めている。
代わりに、これらのメッセージを受け取った場合は、当該アカウントをブロックして報告することが推奨される。
追加のセキュリティ対策として、Signalユーザーは[設定]>[アカウント]で「登録ロック(Registration Lock)」を有効にできる。有効化すると、誰かがアプリであなたの電話番号を登録しようとするたびに、設定したPINの入力が求められる。
PINコードがなければ、別端末でのSignalアカウント登録は失敗する。登録に不可欠なため、コードを失うとアカウントへのアクセスを失う可能性がある。
また、[設定]→[リンク済み端末]でSignalアカウントにアクセスできる端末の一覧を定期的に確認し、見覚えのない端末を削除することが強く推奨される。
