米連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、ロシア情報機関と関連する脅威アクターが、SignalやWhatsAppといった商用メッセージングアプリケーション(CMA)を標的とした大規模なフィッシングキャンペーンを展開していると警告しました。この攻撃は、特に政府関係者、軍人、政治家、ジャーナリストなど「情報価値の高い個人」を狙っており、既に数千のアカウントが不正アクセスを受けていると報じられています。単なる情報漏洩に留まらず、アカウントの乗っ取りやなりすまし、さらには信頼関係を悪用した二次フィッシングへと発展する可能性があり、ユーザーは最大限の警戒が必要です。
ロシア情報機関が狙う「情報価値の高い個人」とは?
今回のフィッシングキャンペーンの最大の特徴は、そのターゲットが明確に「情報価値の高い個人」に絞られている点です。FBIのカッシュ・パテル長官はX(旧Twitter)への投稿で、「このキャンペーンは、現職および元米政府高官、軍人、政治家、ジャーナリストといった情報価値の高い個人を標的としている」と明言しています。これは、単なる金銭目的のサイバー犯罪とは異なり、国家レベルでのサイバー諜報活動の一環である可能性が高いことを示唆しています。
これらの個人が持つ機密情報や、彼らの連絡先リスト、過去の会話履歴は、国家にとって極めて価値のある情報源となり得ます。アカウントが乗っ取られることで、攻撃者は以下のことが可能になります。
- メッセージや連絡先リストの閲覧
- 被害者になりすましてメッセージを送信
- 信頼関係を悪用した二次フィッシング攻撃の実施
これにより、被害者自身のプライバシーが侵害されるだけでなく、彼らの信頼する関係者にも被害が拡大する恐れがあります。特に、ジャーナリストが情報源とやり取りする際にSignalのような暗号化されたアプリを使用している場合、その情報源の安全も脅かされることになり、言論の自由や報道の独立性にも深刻な影響を及ぼしかねません。
巧妙化するフィッシング手口:Signalサポートを装うソーシャルエンジニアリング
今回の攻撃は、SignalやWhatsAppのセキュリティ上の脆弱性を直接悪用するものではなく、人間の心理的な隙を突く「ソーシャルエンジニアリング」に依存しています。具体的には、攻撃者は「Signalサポート」などの正規のサービスを装い、ターゲットに接触します。
攻撃の手口は主に二通りあります。
-
PINまたは認証コードの要求
攻撃者は、被害者に「PINまたは認証コード」を提供するよう促します。これは、アカウントの復旧や移行を装う手口です。もし被害者がこのコードを渡してしまうと、攻撃者はそのコードを使って被害者のアカウントを自身のデバイスで復旧し、被害者はアカウントへのアクセスを失います。この場合、攻撃者は過去のメッセージにはアクセスできませんが、それ以降の新しいメッセージを監視し、被害者になりすましてメッセージを送信することが可能になります。
-
悪意のあるリンクまたはQRコードへの誘導
もう一つの手口は、悪意のあるリンクをクリックさせたり、QRコードをスキャンさせたりするものです。被害者がこれに応じてしまうと、攻撃者の管理下にあるデバイスが被害者のアカウントにリンクされます。このシナリオでは、攻撃者は過去のメッセージを含むすべてのメッセージにアクセスできるようになります。被害者自身は引き続きアカウントにアクセスできますが、アプリの設定から不審なリンク済みデバイスを削除しない限り、攻撃者は継続的に情報を盗み見ることが可能です。
Signalは公式に「Signalサポートがアプリ内メッセージ、SMS、またはソーシャルメディアを通じて認証コードやPINを要求することは決してない」と強調しています。この事実は、不審なメッセージを見分ける上で非常に重要なポイントになります。
既知の脅威アクターとの関連性と国際的な警戒態勢
CISAとFBIは今回の活動を特定の脅威アクターに直接結びつけてはいませんが、MicrosoftやGoogleの脅威インテリジェンスグループによる過去の報告では、同様のキャンペーンがロシア関連の脅威クラスターに起因するとされています。具体的には、「Star Blizzard」、「UNC5792(別名UAC-0195)」、「UNC4221(別名UAC-0185)」といったグループが挙げられています。これらのグループは、国家の支援を受けてサイバー諜報活動を行うことで知られており、今回の警告の深刻さを裏付けています。
また、フランスの国家サイバーセキュリティ庁(ANSSI)の一部であるサイバー危機調整センター(C4)も、政府関係者、ジャーナリスト、ビジネスリーダーに関連するインスタントメッセージアカウントを標的とした攻撃キャンペーンの急増について警告を発しています。ドイツやオランダのサイバーセキュリティ機関も同様の警告を出しており、この脅威が国際的な広がりを見せていることが明らかになっています。
ユーザーが直面するリスクと具体的な防御策
今回のフィッシング攻撃は、メッセージングアプリの暗号化技術そのものを破るものではありませんが、ユーザーの認証情報を盗み取ることで、その堅牢なセキュリティを迂回します。これにより、ユーザーは以下のような深刻なリスクに直面します。
- プライバシーの完全な侵害: 過去のメッセージや連絡先リストが攻撃者の手に渡り、個人的な情報や機密情報が漏洩する可能性があります。
- なりすましによる信用失墜: 攻撃者が被害者になりすましてメッセージを送信することで、友人、同僚、ビジネスパートナーなどとの信頼関係が損なわれる恐れがあります。特に、政府関係者やジャーナリストの場合、その影響は計り知れません。
- 二次被害の拡大: 乗っ取られたアカウントから、被害者の連絡先に対してさらにフィッシング攻撃が仕掛けられることで、被害が連鎖的に拡大する可能性があります。
このような脅威から身を守るためには、以下の対策を徹底することが不可欠です。
- SMSコードや認証PINは絶対に共有しない: SignalやWhatsAppの認証コードやPINは、アカウントの所有者であることを証明する重要な情報です。いかなる理由であっても、誰とも共有してはいけません。正規のサポートがこれらの情報を要求することはありません。
- 不審なメッセージには細心の注意を払う: 見知らぬ連絡先からのメッセージや、予期せぬ内容のメッセージには警戒し、安易に信用しないことが重要です。特に、緊急性を煽るようなメッセージや、個人情報の入力を促すメッセージには注意が必要です。
- リンクをクリックする前に必ず確認する: メッセージ内のリンクは、クリックする前にそのURLが正規のものであるか、マウスオーバーなどで確認する習慣をつけましょう。短縮URLなど、リンク先が分かりにくいものは特に危険です。
- リンク済みデバイスを定期的に確認・削除する: SignalやWhatsAppの設定には、アカウントにリンクされているデバイスの一覧が表示されます。身に覚えのないデバイスや、使用していない古いデバイスがあれば、すぐにリンクを解除・削除しましょう。
- 二段階認証(2FA)を有効にする: 多くのメッセージングアプリでは、PINやパスワードに加えて、別の認証要素(例えば、別のデバイスに送られるコードなど)を要求する二段階認証を設定できます。これを有効にすることで、たとえパスワードが漏洩しても、不正アクセスを防ぐ確率が高まります。
こんな人におすすめの対策まとめ
今回のロシア系ハッカーによるSignal・WhatsAppフィッシング攻撃は、特に機密情報を扱う職業の人々にとって深刻な脅威です。以下に該当する方は、特に注意し、上記の対策を徹底することをおすすめします。
- 政府機関、防衛関連企業に勤務している方
- 政治家、外交官、国際機関の職員
- ジャーナリスト、報道関係者、フリーランスのライター
- 企業幹部、研究者、機密性の高い情報を扱う方々