米FBIとCISAは、ロシア系の攻撃者がSignalやWhatsAppといったメッセージアプリのアカウントを狙う大規模なフィッシング攻撃を実施していると警告しています。特に政府関係者やジャーナリストなど重要度の高い人物が標的とされており、すでに多数のアカウントが不正アクセス被害を受けていると報告されています。暗号化の脆弱性ではなく、人をだます手口が中心である点が特徴です。
The Hacker News:FBI Warns Russian Hackers Target Signal, WhatsApp in Mass Phishing Attacks
この記事のポイント
影響のあるシステム
- Signal(スマートフォン向けメッセージングアプリ)
- WhatsApp(スマートフォン向けメッセージングアプリ)
- SMS認証やPINコードを利用するアカウント認証機能
- リンクデバイス機能(複数端末連携機能)
推奨される対策
- SMS認証コードやPINコードを第三者に絶対に共有しない
- 不審なメッセージや緊急性を煽る通知に注意する
- リンクやQRコードを安易に開かず、送信元を確認する
- アカウントに紐づく端末一覧を定期的に確認し、不審な端末を削除する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- フィッシング:偽のメッセージやサイトを使って、ログイン情報や認証コードをだまし取る攻撃手法です。
- ソーシャルエンジニアリング:人間の心理や信頼関係を悪用して情報を引き出す攻撃手法の総称です。
- リンクデバイス:スマートフォン以外の端末を同一アカウントに接続する機能で、不正利用されると第三者がメッセージ閲覧可能になります。
標的となるアカウントと被害の広がり
今回報告されている攻撃は、ロシアの情報機関と関係があるとされる攻撃者によって行われているとされています。標的は無差別ではなく、政府関係者や軍関係者、政治家、さらにはジャーナリストといった「情報価値の高い人物」に集中している点が特徴です。こうした攻撃は世界規模で展開されており、すでに数千件規模でアカウントへの不正アクセスが発生した可能性があると報告されています。
攻撃者がアカウントを掌握すると、メッセージの閲覧や連絡先の取得に加え、本人になりすましてメッセージを送信することが可能になります。その結果、信頼関係を悪用した二次的なフィッシング攻撃へと発展するリスクも指摘されています。特に業務連絡や機密情報のやり取りをメッセージアプリで行っている場合、その影響は個人にとどまらず、組織全体へ波及する可能性があります。
脆弱性ではなく「人」を狙う攻撃手法
今回の攻撃で注目すべき点は、SignalやWhatsAppの暗号化技術そのものに問題があるわけではないという点です。攻撃者はシステムの脆弱性を突くのではなく、ユーザーの判断を誤らせる「ソーシャルエンジニアリング」を中心に攻撃を展開しています。具体的には、「不審なログインが検出された」などといった緊急性を装うメッセージを送り、ユーザーに行動を急がせる手口が確認されています。
さらに、攻撃者は「Signalサポート」を装うなど、あたかも公式サポートであるかのように振る舞うケースも報告されています。リンクのクリックやQRコードの読み取り、あるいは認証コードの入力を促すことで、ユーザー自身にアカウントへのアクセス権を渡させる仕組みです。このような手法は一見すると正規の手続きに見えるため、ITリテラシーの高いユーザーでもだまされる可能性があります。
攻撃の具体的な仕組みと注意点
攻撃の結果は、ユーザーの行動によって大きく異なります。例えば、認証コードやPINを攻撃者に伝えてしまった場合、攻撃者はその情報を使ってアカウントを再登録し、被害者は自分のアカウントにアクセスできなくなる可能性があります。このケースでは過去のメッセージにはアクセスされないものの、その後の通信は監視されるおそれがあります。
一方で、リンクのクリックやQRコードの読み取りによって端末が連携されると、攻撃者の端末が正規ユーザーとして登録され、過去を含むすべてのメッセージにアクセスされる可能性があります。この場合、被害者は引き続きアプリを利用できるため、侵害に気付きにくい点が大きなリスクです。こうした違いを理解し、日常的に接続端末の確認を行うことが重要です。
国内組織が直ちに確認すべきポイント
日本国内の企業や組織においても、同様の攻撃手法が利用される可能性は十分にあります。特に、海外拠点を持つ企業や政府関連の取引を行う組織では、標的となるリスクが高まると考えられます。まず確認すべきは、従業員が業務用途でメッセージアプリを利用しているかどうか、そして認証コードやリンクの取り扱いについて十分な教育が行われているかです。
また、セキュリティ対策としては技術的な防御だけでなく、人の判断力を高める対策が不可欠です。例えば「公式が個別メッセージで認証コードを要求することはない」といった基本ルールを周知することが有効とされています。加えて、端末管理やアカウント監査の運用を見直し、不審な接続があった場合に迅速に対応できる体制を整えることが求められます。こうした積み重ねが、被害の未然防止につながると考えられます。
