FBI と CISA は、ロシア系ハッカーが Signal 利用者をフィッシングし、 メッセージアーカイブを復元できるバックアップ用リカバリーキーをだまし取っていると警告している。
重要ポイント:
- ロシア情報機関と関係するハッカーは、コードや PIN だけでなく、Signal のバックアップ用リカバリーキーを狙っている。
- キーが盗まれると、攻撃者はバックアップを復元し、個人・グループ両方のチャットを読み、同じ電話番号に紐づいたアクセスを維持できる。
- このキャンペーンは、Signal の暗号そのものではなく、ソーシャルエンジニアリングと正規機能の悪用に依存している。
Signal ハッカー
6 月 26 日に公開された更新版勧告によれば、 ロシア情報機関とつながる攻撃者が自動サポートアカウントを装い、標的に Signal のリカバリーキーをさらさせようとしている。
通知では、3 月の警告にはなかった UNC5792 と UNC4221 が新たに名指しされ、 FSB 国境警備隊に組み込まれた FSB 将校らを含むロシア情報機関グループとの関連付けが行われている。
このキャンペーンは、現職および元の米国・各国政府高官、軍関係者、政治家、ジャーナリスト、ウクライナ当局者など、 機関が「高い情報価値」を持つと表現する人物を標的としている。
以前の手口では、標的に検証コードやアカウント PIN の提示を求めたり、 偽のグループ招待リンクを使って攻撃者の端末をアカウントに接続したりしていた。
新しい手口では、ユーザーに Signal バックアップを有効化させ、リカバリーキー画面を開かせて、 そのキーをチャットに貼り付けるよう指示する。
あわせて読みたい: Claude Fable 5 が復活か、ワシントンが Anthropic との対立を緩和
FBI の警告
FBI によると、サンプルメッセージの一つは必須の二要素認証導入を装っており、 別のものはメッセージ損失を防ぐために「緊急のデータ復旧」が必要だと主張していた。
標的がキーを共有してしまうと、攻撃者はバックアップを復元し、個人・グループ両方のメッセージ履歴を読み、 アカウントを乗っ取ることができる。被害者が端末を変えたり、同じ番号で新しいアカウントを作ったりしても、 キーは有効なまま残り得る。
Signal の設定で新しいキーを生成すれば、以後のバックアップのダウンロードに関しては古いキーは無効になるが、 すでにアクセス済みのバックアップを「なかったこと」にすることはできない。
この戦術は、Signal の暗号やアプリ自体を破るものではない。 被害者にバックアップを保護する資格情報を渡させるよう仕向けることで機能している。
国務省の Rewards for Justice プログラムは、UNC5792 に関する情報提供に対し、 最大 1,000 万ドルの報奨金を提示している。
Google Threat Intelligence Group は 2025 年初頭、 UNC5792 が Signal のリンク済みデバイス機能を悪用している様子を文書化しており、 その後、WhatsApp や Telegram を狙った類似の手口が研究者によって確認された。