FBIが警告するロシア情報機関によるSignalバックアップ回復キーの悪用、その手口と対策

ロシアの情報機関が、暗号化メッセージアプリSignalのバックアップ回復キーを狙うフィッシング攻撃を拡大させている──。米連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は6月、この手口の深刻化を警告する更新情報を発表した。攻撃者は、政府高官や軍関係者、ジャーナリストなどの重要ターゲットに対し、バックアップ回復キーを直接入手するよう巧妙に誘導する。一度でもキーを奪われれば、過去のプライベートメッセージやグループチャットの履歴、さらには新規に作成したアカウントまで、すべてが攻撃者の手に落ちる可能性がある。

フィッシングの進化：回復キーを狙う新たな手口

従来のSignalを狙った攻撃では、SMS認証コードやアカウントPINの入手、あるいは偽装された「グループ招待」リンクを通じたデバイスの不正リンクが主流だった。しかし今回の更新情報によると、攻撃者はさらに一歩進んで、バックアップ機能の有効化と回復キーの表示、そしてそのキーを攻撃者へ送信させる手順までをターゲットに指示するようになった。具体的には、Signalのバックアップ設定を有効にし、表示される回復キーをそのままチャットに送信するよう促すメッセージが送られてくるのだ。

この手口を説明するサンプルメッセージには二種類ある。一つは「二要素認証の強制アップデート」を装ったもので、もう一つは「メッセージデータ喪失のリスク回避」を名目とした「緊急修復ツール」の提供を装うものだ。いずれも、利用者が回復キーを入手して送信するまでの手順を丁寧に案内する内容となっている。攻撃者は、Signal自体の暗号化技術を突破するのではなく、利用者の操作ミスと信頼を巧みに悪用している点が特徴だ。

回復キーがもたらす致命的な被害：アカウント乗っ取りと履歴の暴露

Signalのバックアップ回復キーは、アカウントのバックアップデータを復元するための暗号鍵だ。このキーを入手した攻撃者は、一度だけでなく、将来にわたってバックアップデータを復元し続けることが可能となる。FBIとCISAの警告によれば、たとえターゲットが新しいアカウントを同じ電話番号で再登録しても、古い回復キーを使ってバックアップを復元できるという。つまり、アカウントの再登録は被害を食い止める手段にはならないのだ。

この攻撃がもたらす被害の規模は極めて深刻だ。回復キーを奪われたアカウントでは、過去のプライベートメッセージはおろか、グループチャットの履歴までもが攻撃者の手に渡る。また、新規にアカウントを再登録しても、バックアップが復元されてしまうため、再びメッセージ履歴が漏洩するリスクが残る。攻撃者は、一度キーを入手すれば、継続的にバックアップデータを取得し続けることができるのだ。

攻撃グループの正体：ロシア情報機関とその関連組織

FBIとCISAは、この攻撃キャンペーンに関与している複数の攻撃グループを特定し、名称を公表した。そのうちの二つが「UNC5792」と「UNC4221」だ。これらのグループは、ロシアの複数の情報機関との関連が指摘されている。具体的には、ロシア連邦保安庁（FSB）の職員が国境警備隊に配属されている事例や、ロシア軍関連のサービスで活動する者などが含まれるという。

攻撃のターゲットは極めて高いインテリジェンス価値を持つ個人に絞られている。具体的には、現職および元の米国や国際政府高官、軍関係者、政治家、ジャーナリスト、そしてウクライナの関係者などが標的となっている。3月の注意喚起では、この攻撃キャンペーンによって世界中で数千件のアカウントが既に侵害されている可能性が指摘されていた。

世界的な連携：各国の情報機関も警戒を強化

このロシア情報機関によるSignal攻撃は、米国にとどまらず、世界各国の情報機関からも警戒されている。オランダの情報機関（AIVDおよびMIVD）、ドイツの連邦情報保安局（BfV）および連邦情報セキュリティ局（BSI）、フランスの国家情報保安局（ANSSI）などが、いずれも同様の脅威に関する注意喚起を公表している。また、Googleの脅威インテリジェンスグループは、UNC5792の活動について最初に文書化した組織の一つだ。

こうした国際的な連携は、攻撃の手口やターゲットの傾向を共有することで、被害の拡大を防ぐ狙いがある。特に、暗号化メッセージアプリを標的とした攻撃は、国境を越えた情報流出のリスクが高いため、各国の情報機関が協力して対応策を講じる必要性が高まっている。

Signalの暗号化技術は健全：被害は人的ミスに起因

FBIとCISAは繰り返し強調しているが、Signalの暗号化技術自体に問題はない。Signalはエンドツーエンド暗号化を採用しており、サーバー上にはメッセージの内容が保存されない仕組みとなっている。そのため、攻撃者がSignalの暗号化を突破することは原理的に不可能だ。被害はすべて、利用者が攻撃者の巧妙な誘導に乗ってしまったことによる人的ミスに起因している。

この点は、Signalのセキュリティモデルを理解する上で重要なポイントだ。Signalの強みは、暗号化技術そのものではなく、利用者がセキュリティを維持するための仕組みと教育にある。しかし、その一方で、利用者がフィッシングやソーシャルエンジニアリングの被害に遭いやすいという弱点も浮き彫りになっている。

具体的な対策：回復キーの再生成とアカウントの保護

FBIとCISAが提示する唯一の実効性のある対策は、回復キーの再生成だ。Signalアプリの設定メニューから「バックアップ」を選択し、新たな回復キーを生成することで、古いキーは無効化される。これにより、攻撃者が古いキーを使ってバックアップを復元することはできなくなる。ただし、すでに攻撃者がバックアップデータを入手している場合は、そのデータを削除することはできないため、被害の拡大を防ぐためには早急な対応が求められる。

また、Signal利用者は、以下の点に注意する必要がある：

• 不審なメッセージやリンクを開かないこと
• 公式のサポート窓口を名乗るメッセージには慎重に対応すること
• バックアップ機能を有効にする際は、回復キーを安全な場所に保管すること
• 二要素認証（PIN）を有効にし、定期的に更新すること

これらの対策を徹底することで、フィッシング攻撃のリスクを大幅に低減することができる。

報奨金プログラム：UNC5792に関する情報提供を奨励

米国国務省の「Rewards for Justice」プログラムは、UNC5792に関する情報提供に対し、最大1000万ドルの報奨金を設定した。このプログラムは、テロリストやサイバー犯罪者の逮捕・摘発につながる情報を提供した個人や団体に報奨金を支払うものだ。UNC5792の活動に関する情報提供は、国際的なサイバー脅威の抑止に貢献する可能性がある。

報奨金プログラムは、単に犯罪者を逮捕するだけでなく、攻撃手法やインフラに関する情報を収集することで、今後の対策強化につなげる狙いもある。利用者やセキュリティ専門家は、このプログラムを通じて、UNC5792の活動に関する重要な情報を提供することが奨励されている。

今後の展望：サイバー脅威の進化と対策の重要性

ロシア情報機関によるSignal攻撃は、サイバー脅威がますます高度化し、ターゲットを絞ったソーシャルエンジニアリング攻撃が主流になりつつあることを示している。暗号化メッセージアプリの普及に伴い、こうした攻撃のリスクは今後さらに拡大する可能性が高い。そのため、利用者一人一人がセキュリティ意識を高め、最新の脅威情報に基づいた対策を講じることが不可欠だ。

また、企業や政府機関においては、従業員に対するセキュリティ教育の徹底や、多要素認証の導入、そしてフィッシングシミュレーションの実施など、包括的なセキュリティ対策を講じることが求められる。サイバー攻撃の手口は日々進化しており、一度の対策で安心することはできない。常に最新の脅威情報を収集し、適切な対策を講じ続けることが、安全なデジタル環境を維持するための鍵となる。