オランダ情報機関AIVDとMIVDは、ロシア政府が支援するhackers 重要人物のSignalおよびWhatsAppアカウントへの大規模な侵入作戦を展開hackers 警告している。
標的とされるのは上級幹部、軍関係者、公務員、ジャーナリストである。攻撃者はエンドツーエンド暗号化を破ったり、アプリ自体の脆弱性を悪用したりはしていない。代わりに、確立されたフィッシングやソーシャルエンジニアリングの手法を用いて、ユーザーを騙して認証コードやPINを教えたり、アカウントに悪意のある「リンクされたデバイス」を追加させたりしている。
昨年、我々はGhostPairingという手法について報告した。これは標的を騙してWhatsAppのデバイスペアリングフローを完了させ、攻撃者のブラウザをアカウントに目に見えないリンク済みデバイスとして密かに追加するものである。
オランダ情報機関が報告した事例では、攻撃者は「Signal Security Support Chatbot」「Signal Support」または同様の公式を装ったアカウントを名乗り、SignalまたはWhatsAppを通じて被害者に接触した。
このメッセージは通常、不審な活動や検出された可能性のあるデータ漏洩について警告し、データ損失やアカウント停止を避けるためにユーザーに確認手順を完了するよう指示します。
被害者はその後、受信したSMS認証コードおよび/またはSignal PINを返信するよう求められます。
被害者が従えば、攻撃者は自身が管理する端末でアカウントを登録し、実質的に乗っ取ることが可能となる。これにより、被害者を装って新規メッセージを受信したり送信したりできる。
別の攻撃手法では、攻撃者は「リンクされたデバイス」機能(SignalやWhatsAppのデスクトップ版やその他のセカンダリデバイス機能)を悪用する。標的はリンクをクリックするかQRコードをスキャンするよう誘導され、これにより攻撃者のデバイスが被害者のアカウントに密かにリンクされる。被害者は通常通りアクセスを維持するが、攻撃者は侵害の明らかな兆候なしにリアルタイムで通信内容を傍受できるようになる。
これらの攻撃は新しいものではないが、人間の行動に完全に依存していることから改めて警戒すべきであり、その仕組みを理解すれば阻止しやすくなる。使用される手法は技術的に高度ではなく、非国家主体や一般のサイバー犯罪者でも容易に模倣できる。
現在のロシアの作戦活動を受けて、オランダ情報機関(AIVD)と国防情報機関(MIVD)は、シグナルやワッツアップなどのチャットアプリは、技術的にはエンドツーエンド暗号化をサポートしているにもかかわらず、機密情報、秘密情報、その他の政府の機微な情報を共有するには不適切であると述べている。
会話の機密性を保つ方法
標的となったユーザーへの具体的な警告として、機密情報には指定アプリを使用すべきだ。多くのユーザーが専用の安全システムを利用できるにもかかわらず、一部は既に知っていたアプリ——SignalやWhatsApp——に頼った。公平を期せば、これらのアプリは基本的なルールを順守すれば安全である:
侵害されたアカウントの防止と検出方法
- 認証コードやPIN番号を絶対に共有しないでください。 SMS認証コードと PINは 、アプリをデバイスにインストールまたは再登録する際にのみ必要です。これらが チャットで正当に要求されることは決してありません。これらのコードの送信を求めるアプリ内メッセージ、ダイレクトメッセージ(DM)、メール、SMSはすべてフィッシング詐欺の試みです。
- チャット内の「サポート」アカウントを信用しないでください。Signalは 明示的に、サポートがアプリ内メッセージ、SMS、ソーシャルメディアを通じて検証コードやPINを要求することはないと述べています。 「Signalサポートボット」「セキュリティチャットボット」などの類似アカウントは悪意のあるものと見なし、ブロック・報告した上で会話を削除してください。
- チャット内のリンクやQRコードには注意してください。 QRコードをスキャンしたり、デバイス連携リンクをクリックしたりするのは 、ご自身がアプリのデバイス連携メニュー内で操作を開始した場合のみにしてください。 リンクやQRコードを通じて「デバイスの確認」や「データの保護」を促すメッセージが届いた場合、このキャンペーンの一環であると見なしてください。
- 定期的にリンクされたデバイスとグループメンバーシップを確認してください。 SignalとWhatsAppでは、リンクされたデバイスのリストを確認し、認識できないものは削除してください。また、不審なグループ参加者や重複した連絡先(「削除済みアカウント」や二重に表示される連絡先など)にも注意を払ってください。オランダ情報機関は、これらをアカウント侵害の可能性を示す兆候として挙げています。
- 組み込みのセキュリティ強化機能を活用してください。 登録ロック、登録用PIN、端末変更通知などのオプションを有効化し 、追加の秘密情報なしにアカウントが密かに再登録されないようにします。推測されやすいものを選んだり、一般的なコードを再利用したりする代わりに、PINをパスワードマネージャーに保管し、ソーシャルエンジニアリングやショルダーサーフィングの被害リスクを低減してください。
消えるメッセージを使用する
SignalとWhatsAppの両方が消えるメッセージをサポートしており、これらを利用することでアカウント侵害やデバイスへの不正アクセスによる影響を大幅に軽減できます(ただし完全に防止できるわけではありません)。
短時間表示メッセージや消滅メッセージは、攻撃者が後からチャットに侵入した場合や、誰かがデバイスやバックアップへの長期アクセス権を取得した場合に、利用可能なコンテンツ量を減らします。これらは完全な解決策ではありませんが、被害を制限することは可能です。
Signalでは、チャットごとのタイマーを設定できます。これにより、選択した期間が経過すると、その会話内のすべての新規メッセージが全デバイスから自動削除されます。1対1チャットやグループチャットで有効化でき、さまざまな期間(秒単位から週単位)から選択可能です。どちらの参加者も有効化状態を確認でき、タイマーを変更できます。
WhatsAppでは、チャットごとにタイマーを設定した消えるメッセージ機能(新規チャットにはデフォルトで有効)もサポートしています。メッセージは24時間、7日間、90日間などの期間後に自動削除され、新しいビルドでは1時間や12時間といったより短いオプションも追加されています。
チャット情報の「消えるメッセージ」で有効にし、希望のタイマーを選択します。有効化後に送信されたメッセージのみが対象となります。
特に機密性の高いメディアや音声メッセージについては、WhatsAppでは「1回限り閲覧」機能も提供しています。これは写真、音声メッセージ、動画を1回だけ開くことができ、その後チャットから消えるものです。
多要素認証を有効にする
WhatsAppで二段階認証を設定する方法について、完全ガイドを作成しました。
Signalで二段階認証(2FA)を設定するには、新規端末でのログイン時に設定したPINコードを要求する「登録ロック」機能を有効にしてください。Signalを開き、[設定] >Privacy [登録ロック]の順に選択し、機能をオンにします。これにより、たとえ誰かがSIMカードを盗んだ場合でも、あなたの個人用PINコードなしではアカウントにアクセスできなくなります。
私たちはプライバシーについて単に報告するだけでなく、それを活用する選択肢を提供します。
Privacy 出し以上の広がりを見せてはならない。オンラインプライバシーを守るには Malwarebytes Privacy VPNで守ってください。
