ロシア諜報による偽サポートSMSで拡大するメッセージングアカウント乗っ取りの脅威

ウクライナの保安機関と米連邦捜査局（FBI）は共同で、ロシアの諜報機関が展開した大規模なメッセージングアカウント乗っ取りキャンペーンを明らかにした。攻撃者は正規のメッセージングサービスのサポートを装った偽のSMSを送信し、受信者にアカウント資格情報を入力させる手口を用いていた。被害はウクライナだけでなく欧州や米国の政府関係者、軍人、政治家、活動家にまで及んでおり、機密情報の窃取を目的としているとされる。この攻撃手法は、特にサイバー諜報活動の一環として行われている可能性が高い。

攻撃の全容が明らかになったのは、SSUがTelegramを通じて公表した情報によるものだ。SSUによれば、攻撃者はメッセージングプラットフォームのサポートボットを装ったSMSを送信し、受信者にアカウントの認証情報を入力するよう促していた。このキャンペーンは長期間にわたって展開されており、被害者は政府機関や軍関係者に限らず、一般のウクライナ国民の個人アカウントも含まれていた。SSUはこのキャンペーンを特定のハッキンググループに結びつけることはなかったが、同様の攻撃手法は過去に「Star Blizzard」「UNC5792（別名UAC-0195）」「UNC4221（別名UAC-0185）」などのロシア系脅威アクターによって実行されていたことが確認されている。

この攻撃は、メッセージングアプリを介した情報漏洩のリスクがいかに深刻であるかを改めて浮き彫りにしている。攻撃者はサポートを装うことで、受信者の警戒心を低下させ、容易に認証情報を奪取することが可能となっている。また、このような攻撃は単に個人のプライバシー侵害にとどまらず、国家レベルの機密情報や軍事機密の窃取にもつながりかねないため、その影響は計り知れない。特にウクライナ情勢の緊迫化に伴い、ロシアによるサイバー攻撃の脅威は一層高まっているといえるだろう。

偽サポートSMSの巧妙な手口と拡散の実態

攻撃者が用いる偽サポートSMSは、一見すると本物のサービスから送信されたメッセージのように見える。例えば、ユーザーに対し「アカウントがロックされた」「セキュリティ上の問題が発生した」などといった緊急性を装った内容が記載されている。そして、解決策として「以下のリンクからログインして認証情報を再入力してください」といった誘導が行われる。このリンクは実在するメッセージングサービスのログインページを模した偽のウェブサイトにリダイレクトされる仕組みになっており、入力されたIDやパスワードは攻撃者の手に渡ることになる。

こうした偽のサポートメッセージは、SMSだけでなく、メッセージングアプリ内のチャットを通じて送信されるケースも確認されている。例えば、SignalやWhatsAppでは、サポートを装ったメッセージがユーザーに直接送られ、認証コードやQRコードの提示を求められることがある。これらの手口は、ユーザーがサポート機能を信頼しがちな心理を逆手に取ったものであり、ソーシャルエンジニアリングの典型的な手法といえる。

特に注目すべきは、この攻撃が特定の個人や組織に限定されていない点だ。SSUの発表によれば、被害は政府関係者や軍人だけでなく、一般のウクライナ国民の個人アカウントにも及んでいる。これは、ロシアの諜報機関が広範な情報収集を目的としていることを示唆しており、個人のプライバシー侵害が国家的な脅威へと発展する可能性がある。また、欧州や米国の関係者も標的となっていることから、この攻撃は国際的なサイバー諜報活動の一環として展開されていると考えられる。

既知のロシア系脅威アクターとの関連性

SSUはこのキャンペーンを特定のハッキンググループに結びつけることはなかったが、過去の類似した攻撃手法との関連性が指摘されている。例えば、Star Blizzard（旧称SEABORGIUM）は、主に英語圏の政府関係者やジャーナリストを標的としたサイバー攻撃で知られている。また、UNC5792（別名UAC-0195）やUNC4221（別名UAC-0185）といったグループも、メッセージングアプリを悪用した攻撃を実行してきた実績がある。

これらのグループは、いずれもロシアの諜報機関との関連が指摘されている組織であり、その攻撃手法は非常に巧妙である。例えば、UNC5792は、偽のウェブサイトを介して認証情報を奪取するだけでなく、マルウェアの配布や情報の窃取にも及んでいる。また、UNC4221は、QRコードを悪用した認証情報の奪取手法を用いており、ユーザーの油断を突く手口が特徴的だ。

これらのグループの活動は、単なる犯罪行為ではなく、国家の支援を受けたサイバー攻撃として位置づけられている。そのため、彼らの攻撃は高度な技術力と綿密な計画のもとに実行されており、一般的なユーザーだけでなく、セキュリティ専門家にとっても対策が難しいとされている。特に、メッセージングアプリのセキュリティ機能を悪用する手口は、従来のサイバー攻撃とは一線を画しており、新たな脅威として認識されている。

対象となったユーザー層と情報窃取の目的

このキャンペーンの被害者は、政府関係者や軍人、政治家、活動家といった公的な立場の人物に限られていない。SSUによれば、一般のウクライナ国民の個人アカウントも標的となっている。これは、ロシアの諜報機関が広範な情報収集を目的としていることを示しており、個人のプライバシー侵害が国家的な脅威へと発展する可能性がある。

攻撃者が狙う情報は、軍事、政治、経済に関する機密情報に加え、個人の連絡先や位置情報、財務データなど多岐にわたる。例えば、軍事関係者のメッセージングアカウントが乗っ取られた場合、作戦計画や部隊の動向、装備に関する情報が漏洩するリスクがある。また、政治家や活動家のアカウントが乗っ取られた場合、内部の意思決定プロセスや機密情報、さらには個人のスキャンダルにつながる情報が流出する可能性がある。

さらに、一般のユーザーのアカウントが標的となった場合でも、その影響は決して小さくない。例えば、家族や友人との連絡手段としてメッセージングアプリを利用しているユーザーが被害に遭った場合、連絡先情報や個人的な会話内容が漏洩するリスクがある。また、アカウントが乗っ取られたことで、そのユーザーのふりをした詐欺行為や偽情報の拡散に悪用される可能性もある。

FBIによる商用メッセージングアプリのバックアップキー奪取キャンペーン

米連邦捜査局（FBI）は、ロシアの諜報機関が商用メッセージングアプリ（CMA）を悪用したフィッシングキャンペーンを展開していることを明らかにした。このキャンペーンでは、攻撃者が高い価値を持つターゲットを狙い、バックアップリカバリーキーの入力を促す手口を用いている。

バックアップリカバリーキーは、メッセージングアプリのアカウントを復元する際に必要となる重要な情報であり、これを奪取されるとアカウントの完全な乗っ取りが可能となる。攻撃者は、被害者に対し「アカウントのセキュリティを強化するためにリカバリーキーを再入力してください」といったメッセージを送信し、その入力を促す。しかし、実際にはこのリカバリーキーは攻撃者の手に渡り、アカウントが乗っ取られる仕組みとなっている。

このような攻撃は、特にメッセージングアプリのセキュリティ機能に依存しているユーザーにとって大きなリスクとなる。なぜなら、リカバリーキーを入力することで、アカウントの完全な制御権を奪われる可能性があるからだ。そのため、FBIはユーザーに対し、リカバリーキーの取り扱いには特に注意を払うよう呼びかけている。

ベラルーシ系アクターによる政府組織を狙ったスピアフィッシングキャンペーン

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、ベラルーシ系の脅威アクター「UNC1151（別名Ghostwriter、UAC-0057）」によるスピアフィッシングキャンペーンを確認した。この攻撃では、政府機関の組織を標的とし、既に乗っ取られたアカウントを悪用して情報窃取マルウェア「OYSTERBLUES」を配布していた。

スピアフィッシングは、特定の個人や組織を標的とした高度なフィッシング攻撃であり、攻撃者は被害者の信頼を得るために、偽のメールやメッセージを巧妙に作成する。UNC1151のキャンペーンでは、政府機関の職員に対し、正規のメールを装った偽のメッセージが送信され、添付ファイルやリンクをクリックさせることでマルウェアに感染させていた。

「OYSTERBLUES」は、情報窃取マルウェアの一種であり、感染した端末から機密情報を窃取する機能を持っている。このマルウェアは、主に政府機関を標的としていることから、国家レベルの情報漏洩につながる可能性がある。また、UNC1151はベラルーシ政府との関連が指摘されている組織であり、その攻撃はウクライナ情勢をめぐるサイバー戦の一環として位置づけられている。

メッセージングアプリのセキュリティ機能を悪用する新たな脅威

メッセージングアプリの普及に伴い、そのセキュリティ機能が攻撃者に悪用されるケースが増加している。例えば、SignalやWhatsAppといったアプリでは、エンドツーエンド暗号化や2要素認証（2FA）といったセキュリティ機能が提供されているが、これらの機能を逆手に取った攻撃手法が確認されている。

2FAは、アカウントのセキュリティを強化するための重要な機能であるが、攻撃者はこれを悪用して被害者をだます手口を用いている。例えば、偽の2FAコード入力画面を表示させ、被害者にコードを入力させることで、アカウントへのアクセス権を奪取する。また、QRコードを悪用した認証手法も確認されており、被害者がQRコードをスキャンすることで、アカウントが乗っ取られる仕組みとなっている。

さらに、メッセージングアプリ内でのチャットを通じた攻撃も増加している。攻撃者は、サポートを装ったメッセージを送信し、被害者に対しリンクやファイルを開かせることでマルウェアに感染させる。このような攻撃は、ユーザーがアプリ内のチャット機能を信頼しがちな心理を逆手に取ったものであり、ソーシャルエンジニアリングの典型的な手法といえる。

具体的な対策とユーザーが取るべき行動

このような攻撃から身を守るためには、ユーザー自身がセキュリティ意識を高め、適切な対策を講じることが重要だ。まず、2要素認証（2FA）を有効化することが基本中の基本となる。2FAを有効化することで、アカウントへの不正アクセスを防ぐことが可能となる。また、定期的にアクティブなセッションを確認し、不明なデバイスや場所からのログインがないかをチェックすることも重要だ。

次に、QRコードの取り扱いには特に注意を払う必要がある。QRコードをスキャンする際には、その送信元や内容を慎重に確認し、不明なソースからのQRコードは絶対にスキャンしないようにする。また、確認コードやPINコード、パスワード、アカウントリカバリーキーといった機密情報を絶対に第三者に開示しないことも重要だ。

さらに、不審なリンクやファイルを開かないことも基本的な対策の一つだ。特に、メッセージングアプリ内で受信したリンクやファイルは、その送信元や内容を慎重に確認し、少しでも不審な点があれば開かないようにする。また、メッセージングアプリのセキュリティ設定を見直し、不要な機能やアクセス許可を無効化することも有効だ。

組織が取るべき包括的なセキュリティ対策

組織においても、このような攻撃から自らを守るための包括的なセキュリティ対策を講じることが重要だ。まず、従業員に対するセキュリティ意識向上のための教育を実施することが必要不可欠だ。例えば、定期的なフィッシングシミュレーションやセキュリティトレーニングを実施し、従業員のセキュリティリテラシーを向上させる。

また、メッセージングアプリの利用に関するポリシーを策定し、従業員に対し適切な利用方法やセキュリティ対策を周知徹底することも重要だ。例えば、業務上必要な場合を除き、個人のメッセージングアプリの利用を制限することや、業務に使用するアプリケーションのセキュリティ設定を強化することが考えられる。

さらに、エンドポイントセキュリティの強化も欠かせない。例えば、最新のアンチウイルスソフトやエンドポイント検出・対応（EDR）ソリューションを導入し、マルウェアや不正なアクセスを検知・阻止する仕組みを整備する。また、ネットワークセグメンテーションやアクセス制御の強化を通じて、攻撃の拡大を防ぐことも重要だ。

今後の動向と注目すべきポイント

ロシアの諜報機関によるメッセージングアカウント乗っ取りキャンペーンは、今後も継続される可能性が高い。特に、ウクライナ情勢の緊迫化に伴い、ロシアによるサイバー攻撃の脅威は一層高まっている。そのため、ユーザーや組織は、常に最新のセキュリティ脅威に関する情報を収集し、適切な対策を講じることが重要だ。

また、メッセージングアプリのセキュリティ機能が攻撃者に悪用されるケースが増加していることから、アプリ開発者側もセキュリティ機能の強化やユーザーへの啓発活動を積極的に行うことが求められる。例えば、偽のサポートメッセージを検知するためのAIベースのフィルタリング機能の導入や、ユーザーに対しセキュリティに関するアラートを積極的に通知する仕組みの整備が考えられる。

さらに、国際的な協力体制の強化も重要な課題だ。サイバー攻撃は国境を越えて行われるため、各国の法執行機関やセキュリティ機関が連携し、攻撃者の検挙や攻撃の阻止に取り組むことが必要だ。例えば、ウクライナのSSUと米国のFBIのような協力関係をさらに強化し、グローバルなサイバーセキュリティ体制の構築を目指すことが求められる。

まとめ：メッセージングアプリのセキュリティを見直す時

ロシアの諜報機関による偽サポートSMSを用いたメッセージングアカウント乗っ取りキャンペーンは、個人から組織、さらには国家レベルにまで影響を及ぼす深刻な脅威となっている。このような攻撃から身を守るためには、ユーザー自身がセキュリティ意識を高め、適切な対策を講じることが不可欠だ。2FAの有効化や不審なリンク・ファイルの回避、QRコードの慎重な取り扱いといった基本的な対策を徹底することで、被害を最小限に抑えることが可能となる。

同時に、組織においても包括的なセキュリティ対策を講じることが重要だ。従業員へのセキュリティ教育の実施やメッセージングアプリの利用ポリシーの策定、エンドポイントセキュリティの強化といった取り組みを通じて、組織全体のセキュリティレベルを向上させることが求められる。また、メッセージングアプリの開発者や国際的なセキュリティ機関との連携を強化し、新たな脅威に対抗するための体制を整備することも必要だ。

今後、サイバー攻撃の手法はますます巧妙化し、その脅威は拡大し続けることが予想される。そのため、常に最新のセキュリティ脅威に関する情報を収集し、適切な対策を講じることが、個人や組織を守るための鍵となるだろう。メッセージングアプリのセキュリティを見直す今こそ、自分自身のデジタルライフを守るための第一歩を踏み出す時だ。