オランダの情報機関AИVDとMIVDは、ロシア政府支援のハッカーが高い価値を持つターゲットのSignalおよびWhatsAppアカウントへの侵入を目的とした大規模キャンペーンを実行しているとして警告しています。
ターゲットは、高位の政府関係者、軍要員、公務員、ジャーナリストとされています。攻撃者はエンドツーエンド暗号化を破ったり、アプリ自体の脆弱性を悪用したりしていません。代わりに、ユーザーを欺いて認証コードとPINを渡させたり、悪意のある「リンク済みデバイス」をアカウントに追加させたりするために、実績のあるフィッシングおよびソーシャルエンジニアリング手法に頼っています。
昨年、我々はGhostPairingについて報告しました。これは、ターゲットをWhatsApp独自のデバイスペアリングフローの完了に欺いて、攻撃者のブラウザを目に見えないリンク済みデバイスとしてアカウントに静かに追加する方法です。
オランダの情報機関が報告した事例では、攻撃者は「Signal Security Support Chatbot」、「Signal Support」または同様の公式に聞こえるアカウントになりすましてSignalまたはWhatsApp上の被害者に連絡しました。
メッセージは通常、疑わしいアクティビティまたは可能性のあるデータ漏洩について警告し、データを失ったりアカウントをブロックされたりするのを避けるために検証ステップを完了するようユーザーに指示します。
その後、被害者はSMS認証コードを送り返すか、Signal PINを送り返すよう要求されます。
被害者が応じた場合、攻撃者は自分が管理するデバイス上でアカウントを登録し、実質的に乗っ取ることができます。新しいメッセージを受け取り、被害者になりすましてメッセージを送信できます。
2番目の変種では、攻撃者は「リンク済みデバイス」機能(SignalおよびWhatsAppのデスクトップまたはその他のセカンダリデバイス機能)を悪用します。ターゲットは、攻撃者のデバイスを被害者のアカウントに静かにリンクさせるリンクをクリックするか、QRコードをスキャンするよう強要されます。被害者は通常通りアクセスを保持しますが、攻撃者は目立った形跡なくリアルタイムで会話を監視できるようになります。
これらの攻撃は新しいものではありませんが、人間の行動に完全に依存しており、それらの仕組みを理解することで防ぎやすくなるため、更新された警告に値します。使用されている方法は技術的に洗練されていないため、簡単に非政府勢力や一般的なサイバー犯罪者によってコピーされる可能性があります。
現在のロシアのキャンペーンのため、AИVDとMIVDは、SignalおよびWhatsAppなどのチャットアプリは、技術的にエンドツーエンド暗号化をサポートしていても、機密または機密性の高い政府情報の共有に適さないと述べています。
会話の機密性を保つ方法
ターゲット化されたユーザーに対する具体的な警告は、機密情報に指定されたアプリを使用することです。多くのユーザーが利用可能な専用セキュアシステムがあるにもかかわらず、既に知っていたアプリ—SignalおよびWhatsApp—に頼るユーザーもいます。そして、公正に言うと、これらのアプリは基本的なルールに従えば安全です:
侵害されたアカウントを防止および検出する方法
- 認証コードまたはPIN番号を絶対に共有しないでください。SMS認証コードとPINは、デバイスにアプリをインストールまたは再登録する場合にのみ必要です。チャットで合法的に要求されることはありません。アプリ内メッセージ、ダイレクトメッセージ(DM)、メール、またはこれらのコードを送り返すよう求めるSMSは、フィッシング試行です。
- チャットの「サポート」アカウントを信頼しないでください。Signalは、サポートがアプリ内メッセージ、SMS、またはソーシャルメディア経由で認証コードまたはPINを要求するためにあなたに連絡することはないと明確に述べています。「Signal Support Bot」、「Security Chatbot」またはこれに類するものは悪意のあるものとして扱い、ブロックして報告し、会話を削除してください。
- チャット内のリンクとQRコードに注意してください。QRコードをスキャンするか、デバイスリンクリンクをクリックするのは、自分自身がアプリのデバイスリンクメニューにいて、プロセスを自分で開始した場合だけです。メッセージがリンクまたはQRを介して「デバイスを認証する」または「データを保護する」ようにあなたを推し進めている場合は、このキャンペーンの一部であると想定してください。
- リンク済みデバイスとグループメンバーシップを定期的に確認してください。SignalとWhatsAppで、リンク済みデバイスのリストを確認し、認識しないものを削除してください。また、奇妙なグループ参加者または重複した連絡先(たとえば「削除されたアカウント」または2回表示される連絡先)に注意してください。オランダの情報機関はこれらをアカウント侵害の可能な兆候として言及しています。
- 組み込みのセキュリティ強化機能を使用してください。登録ロック、登録PIN、デバイス変更アラートなどのオプションを有効にして、アカウントが追加の秘密なしに静かに再登録されないようにしてください。パスワードマネージャーにPINを保存して、推測しやすいもの選択したり、一般的なコードを再利用したりするチャンスを減らすことで、ソーシャルエンジニアリングまたは肩越し見の可能性を減らしてください。
消えるメッセージを使用する
SignalとWhatsAppの両方が消えるメッセージをサポートし、それを使用することは実質的にアカウント侵害またはデバイスアクセスの影響を制限することができます(ただし、それはそれを完全に防ぐことはできません)。
短いタイマーと消えるメッセージは、攻撃者が後でチャットに入ったり、誰かがデバイスやバックアップへの長期アクセスを取得したりした場合に利用可能なコンテンツの量を削減します。それらは完全なソリューションではありませんが、ダメージを制限することができます。
Signalはチャットごとのタイマーを設定できます。選択した期間の後、その会話内のすべての新しいメッセージがすべてのデバイスから自動削除されるようにできます。1対1またはグループチャットに対して有効にでき、様々な期間(秒から週)から選択でき、どちらかのパーティはそれが有効になっていることを見て、タイマーを変更できます。
WhatsAppもチャットごとのタイマー(および新しいチャットのデフォルトオプション)で消えるメッセージをサポートしています。メッセージは24時間、7日、90日などの期間後に自動削除でき、新しいビルドには1時間または12時間などの短いオプションが含まれます。
チャット情報の「消えるメッセージ」の下でそれをオンにし、目的のタイマーを選択します。有効にした後に送信されたメッセージのみが影響を受けます。
特に機密性の高いメディアまたはボイスメッセージの場合、WhatsAppは「1回表示」写真、ボイスメッセージ、およびビデオも提供しており、消える前に1回だけ開くことができます。
多要素認証を有効にする
WhatsAppアカウントで2段階認証を設定する方法についての完全なガイドを書きました。
Signalで2要素認証(2FA)を設定するには、登録ロック機能を有効にします。これにより、新しいデバイスでログインするために設定されたPINが必要になります。Signalを開いて、設定 > プライバシー > 登録ロックに移動し、オンにします。これにより、誰かがあなたのSIMを盗んだとしても、あなたの個人用PINなしでアカウントにアクセスできないようになります。
