FBIが警告するシグナルのバックアップ回復キーを狙うロシア系ハッカーの新手口

ロシア系ハッカーによるシグナル攻撃がエスカレート、回復キー奪取の脅威

米連邦捜査局（FBI）と米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ロシア情報機関が関与するハッカー集団がシグナルのバックアップ回復キーを標的にしたフィッシング攻撃を拡大させていると警告している。この攻撃により、被害者の過去のメッセージやメディアファイルが全て漏洩する可能性がある。同当局は、この攻撃がロシア連邦保安庁（FSB）の国境警備隊要員やロシア軍に協力するハッカーによって実行されているとみており、活動はUNC5792およびUNC4221として追跡されている。

従来のシグナルを狙った攻撃は、認証コードやアカウントPINの窃取、あるいは攻撃者が管理する端末を被害者のアカウントにリンクさせる手法が主流だった。しかし今回のアップデートでは、攻撃者がシグナルのバックアップ機能に注目し、回復キーの入力を要求するようになった。回復キーはシグナルの暗号化されたバックアップファイルを復号するための重要な鍵であり、これを奪取されると過去の全てのメッセージ履歴が攻撃者の手に渡ることになる。この変化は、攻撃の目的が単なるアカウント乗っ取りから、長期間にわたる機密情報の収集へとシフトしていることを示唆している。

進化するフィッシング手法：サポート窓口を装った巧妙な罠

攻撃者は、シグナルのサポート窓口を装ったフィッシングメッセージを送信することで知られている。最近のメッセージでは、イランや旧ソ連諸国のハッカーによる攻撃が増加したことを口実に、シグナルが二要素認証の導入を発表したと偽っている。メッセージ内には、「過去のメッセージやメディアを失わないために、シグナルのバックアップを有効にし、回復キーを設定してください」という偽の指示が含まれている。

このフィッシングメッセージは、実際のシグナルの通知に酷似しており、ユーザーを欺くための細部にわたる工夫が施されている。例えば、シグナルの公式ウェブサイトと同じドメインを使用したり、シグナルのロゴやレイアウトを模倣したりすることで、ユーザーが本物と偽物を見分けることが困難になっている。また、メッセージ内のリンクをクリックすると、本物のシグナルのログイン画面に酷似した偽のウェブサイトに誘導される仕組みになっている。

攻撃者は、この偽のウェブサイトでユーザーにログイン情報を入力させた後、シグナルのバックアップ設定画面にアクセスさせ、回復キーを入力させる。回復キーを入力させることで、攻撃者は被害者のアカウントにアクセスし、バックアップファイルをダウンロードできるようになる。このバックアップファイルには、過去のメッセージやメディアファイルが暗号化された状態で保存されているため、回復キーがあれば容易に復号できる。

狙われる対象者：政府関係者やジャーナリスト、ウクライナ関係者

FBIとCISAは、この攻撃が特定のターゲットに絞られていることを明らかにしている。主な標的は、米国および国際的な政府関係者、軍人、政治家、ジャーナリスト、そしてウクライナに拠点を置く重要な官僚だ。これらの人物は、機密情報や内部情報にアクセスする可能性が高いため、ロシア情報機関にとって価値の高い標的となっている。

特にウクライナに関連する人物は、ロシアとの地政学的な緊張関係から、頻繁に標的にされている。攻撃者は、これらの人物のシグナルアカウントを乗っ取ることで、ウクライナ情勢に関する機密情報や、ロシアにとって有用な情報を収集することを目指している。また、政府関係者や軍人は、国家機密にアクセスする可能性が高いため、より高い価値を持つ標的となっている。

バックアップ回復キーの仕組みとそのリスク

シグナルのバックアップ回復キーは、暗号化されたバックアップファイルを復号するための重要な鍵だ。ユーザーがシグナルのバックアップ機能を有効にすると、アプリ内で回復キーが生成される。この回復キーは、ユーザーが新しい端末にシグナルを引き継ぐ際に必要となるほか、過去のメッセージやメディアファイルを復元する際にも使用される。

しかし、この回復キーが第三者の手に渡ると、攻撃者は被害者のアカウントにアクセスし、過去の全てのメッセージやメディアファイルを復号して閲覧することが可能になる。このため、回復キーはシグナルアカウントと同等の価値を持つと言っても過言ではない。攻撃者が回復キーを奪取した場合、被害者はメッセージ履歴を完全に失うだけでなく、機密情報が漏洩するリスクにもさらされる。

実被害の事例とその影響

これまでに確認されている被害事例では、ロシア情報機関が関与するハッカー集団が、標的となったユーザーのシグナルアカウントを乗っ取り、過去のメッセージ履歴をダウンロードしていたことが明らかになっている。例えば、ある政府関係者のアカウントが攻撃を受け、過去数年間のメッセージ履歴が漏洩した事例がある。このメッセージ履歴には、機密情報や内部関係者とのやり取りが含まれていたため、被害者は国家機密の漏洩という重大な事態に直面した。

また、ジャーナリストのアカウントが攻撃を受け、取材先との機密情報が漏洩した事例も報告されている。被害を受けたジャーナリストは、情報源の保護や取材活動の継続に支障をきたすことになった。さらに、ウクライナに拠点を置く官僚のアカウントが攻撃を受け、ウクライナ情勢に関する機密情報が漏洩した事例も確認されている。これらの事例は、ロシア情報機関がシグナルのバックアップ回復キーを狙う攻撃が、現実の脅威となっていることを示している。

対策と予防策：個人ユーザーと組織の両面で求められる対応

FBIとCISAは、この攻撃から身を守るための具体的な対策を提言している。まず、シグナルのバックアップ機能を有効にしているユーザーは、回復キーを絶対に他者と共有しないことが最も重要だ。回復キーは、シグナルの設定画面内で確認することができるが、このキーを第三者に伝えることは、アカウントの乗っ取りに直結する行為だ。また、シグナルからの公式な連絡であっても、リンクをクリックする前に送信元やURLを慎重に確認することが必要だ。

さらに、二要素認証（2FA）を有効にすることで、アカウントへの不正アクセスを防ぐことができる。シグナルは、SMSや認証アプリ、ハードウェアキーなど複数の認証方法をサポートしているため、利便性とセキュリティのバランスを考慮して最適な方法を選択することが重要だ。特に、政府関係者やジャーナリストなど、高いリスクにさらされているユーザーは、ハードウェアキーを使用することを強く推奨する。

組織においても、従業員に対するセキュリティ教育の強化が求められる。フィッシング攻撃の手口は年々巧妙化しており、従業員が被害に遭わないためには、定期的なトレーニングや模擬攻撃の実施が効果的だ。また、シグナルの使用に関するポリシーを策定し、バックアップ機能の有効化や回復キーの取り扱いに関するガイドラインを明確にすることが重要だ。

技術的な対策とシグナルのセキュリティ機能

シグナルは、エンドツーエンド暗号化を採用しており、メッセージの内容が第三者に傍受されるリスクは低い。しかし、アカウントそのものが乗っ取られた場合、暗号化されたメッセージであっても攻撃者によって閲覧される可能性がある。このため、シグナルのセキュリティ機能を最大限に活用することが重要だ。

まず、シグナルの「鍵の確認」機能を使用して、連絡先との間で暗号化キーを相互に確認することで、なりすましのリスクを低減できる。また、シグナルの「登録ロック」機能を有効にすることで、新しい端末からのログインを制限することができる。これにより、不正な端末からのアクセスを防ぐことが可能だ。

さらに、シグナルのバックアップ機能を使用する際には、ローカルストレージにバックアップを保存することを検討する。シグナルのクラウドバックアップ機能を使用すると、バックアップファイルがシグナルのサーバーに保存されるため、攻撃者に狙われるリスクが高まる。ローカルストレージにバックアップを保存することで、クラウド経由での攻撃を回避することができる。

今後の動向と注目すべきポイント

ロシア情報機関によるシグナル攻撃は、今後さらに巧妙化し、ターゲットを拡大する可能性が高い。攻撃者は、フィッシングメッセージの内容を常に更新し、ユーザーを欺くための新たな手法を開発している。このため、ユーザーは最新のセキュリティ情報に常に注意を払い、新たな脅威に対応する準備を整えておく必要がある。

また、シグナルの開発元であるSignal Foundationも、この脅威に対応するためのセキュリティ強化に取り組んでいる。例えば、回復キーの取り扱いに関するユーザーインターフェースの改善や、二要素認証の導入強化などが検討されている。ユーザーは、シグナルのアップデート情報を常に確認し、最新のセキュリティ機能を活用することが重要だ。

さらに、政府機関や企業は、この脅威に対する包括的な対策を講じる必要がある。例えば、シグナルの使用に関するポリシーの策定や、従業員に対するセキュリティ教育の強化、そして脅威インテリジェンスの活用などが挙げられる。これらの対策を講じることで、ロシア情報機関による攻撃から組織を守ることができる。

まとめ：シグナル利用者が今すぐ行うべきセキュリティ対策

FBIとCISAの警告は、シグナルのバックアップ回復キーを狙うロシア系ハッカーの脅威が現実のものとなっていることを示している。この攻撃により、被害者は過去のメッセージ履歴を完全に失うだけでなく、機密情報の漏洩という重大なリスクにさらされる。このため、シグナル利用者は、回復キーの取り扱いに関するセキュリティ対策を今すぐ見直す必要がある。

具体的には、回復キーを絶対に他者と共有しないこと、二要素認証を有効にすること、そしてフィッシングメッセージに注意を払うことが重要だ。また、シグナルのセキュリティ機能を最大限に活用し、定期的にアップデート情報を確認することも忘れてはならない。これらの対策を講じることで、シグナルの安全な利用を確保し、ロシア情報機関による攻撃から身を守ることができる。