ドイツ当局は、国家が統制しているとみられる脅威アクターが、Signalなどのメッセージングアプリを用いて、欧州全域の政治・軍事・外交分野の要人や調査報道記者を標的にしていると警告している。
先週末に出された共同勧告で、ドイツの国内情報機関(BfV)と連邦サイバーセキュリティ機関(BSI)は、攻撃者が機密通信を監視し、より広範なネットワークを侵害する可能性もあるとして、プライベートなメッセージングアカウントへのアクセスを得ようとしていると述べた。
当局によれば、このキャンペーンはマルウェアやソフトウェアの脆弱性ではなくソーシャルエンジニアリングに依存しており、メッセージングプラットフォームに組み込まれた正規のセキュリティ機能を悪用している。現在の活動はSignalに焦点が当てられているが、WhatsAppを含む同様の機能を持つ他のメッセージングプラットフォームに対しても、同じ手口が用いられる可能性があるという。
ドイツはこのキャンペーンを特定の脅威アクターに帰属させてはいないが、最新の攻撃で用いられた手法は、国家支援のハッカーとサイバー犯罪者の双方が模倣可能だとした。
「著名な標的群であることを踏まえると、現在判明している事例は国家が統制するサイバーアクターによる可能性が高い」と勧告は述べている。
主な攻撃手法
当局は、主に2つの攻撃バリエーションを特定した。そのうちの1つでは、ハッカーが公式のサポートチームや自動チャットボットになりすまし、メッセージングアプリを通じて標的に直接連絡する。メッセージは多くの場合、直ちに対応しなければ個人データが失われると主張する緊急のセキュリティ警告から始まる。
その後、被害者はアカウントのセキュリティPINやSMS認証コードの共有を求められ、攻撃者はそれを使って自分が管理する端末にアカウントを登録し、通信を乗っ取ることができる。
別のバリエーションでは、ユーザーがメッセージングアカウントを追加の端末に接続できる正規の端末リンク機能が悪用される。被害者はQRコードをスキャンするよう誘導されるが、実際にはそれによって被害者のアカウントが攻撃者の管理する端末にリンクされ、連絡先リスト、直近のメッセージ履歴、今後の通信への継続的なアクセスが可能になる。
人気のスパイ活動ツール
セキュリティ研究者は以前、軍関係者、政府関係者、ジャーナリスト、活動家の間でSignalが広く採用されていることが、諜報活動にとって高価値の標的となっていると警告していた。
ウクライナの政府当局者は、ロシアの国家支援ハッカーが、ウクライナ軍関係者や政府関係者が使用するものを含むSignalメッセンジャーのアカウントを標的にしていたと述べており、モスクワの戦争遂行を助け得る機微情報へのアクセスを狙ったものだという。
Googleの研究者もまた、悪名高いロシアの脅威アクター「Sandworm」が、戦場で鹵獲された端末上のSignalアカウントを自らのシステムにリンクさせてさらなる悪用を行うことで、ロシア軍を支援していたキャンペーンを発見した。
Signalはコメント要請に応じなかった。
Daryna Antoniuk
ウクライナを拠点とするRecorded Future Newsの記者。サイバーセキュリティ系スタートアップ、東欧におけるサイバー攻撃、そしてウクライナとロシアの間のサイバー戦の状況について執筆している。以前はForbes Ukraineのテック記者だった。彼女の仕事はSifted、The Kyiv Independent、The Kyiv Postにも掲載されている。
翻訳元: https://therecord.media/germany-warns-phishing-campaign-signal-gov-officials-journalists
