FBI と CISA は、ロシア系ハッカーが Signal 利用者をフィッシングし、メッセージアーカイブを解除できるバックアップリカバリーキーを狙っていると警告している。
重要ポイント:
- ロシア情報機関とつながりのあるハッカーは、コードや PIN だけでなく、Signal のバックアップリカバリーキーを狙っている。
- キーが盗まれると、攻撃者はバックアップを復元し、個人・グループチャットを読めるほか、同じ電話番号にひも付いたアクセスを維持できる。
- このキャンペーンは、Signal の暗号化そのものではなく、ソーシャルエンジニアリングと正規機能の悪用に依存している。
Signal ハッカー
6 月 26 日に公開された更新版の勧告によると、ロシア情報機関と関係するアクターが、自動サポートアカウントを装って標的に接近し、Signal のリカバリーキーをさらすよう仕向けているという。
通知では、3 月の警告では言及されていなかった UNC5792 と UNC4221 が特定されており、FSB 国境警備隊に組み込まれた FSB 将校を含むロシア情報機関グループとの関連が示されている。
このキャンペーンの標的は、当局が「高い情報価値」を持つと表現する人物で、現職・元職の米国および海外の政府関係者、軍人、政治家、ジャーナリスト、そしてウクライナの当局者などが含まれる。
以前のバージョンでは、標的に認証コードやアカウント PIN の提供を求めたり、攻撃者のデバイスをアカウントに接続する偽のグループ招待リンクを使ったりしていた。
新しい手口では、利用者に Signal バックアップを有効化させ、リカバリーキー画面を開かせて、そのキーをチャットに貼り付けるよう指示する。
こちらも参照: Claude Fable 5 が復活か、ワシントンが Anthropic との対立を緩和
FBI の警告
FBI によれば、あるサンプルメッセージは必須の二要素認証導入を装っており、別のものはメッセージ損失を防ぐため緊急のデータ復旧が必要だと主張していた。
標的がキーを共有してしまうと、攻撃者はバックアップを復元し、個人およびグループメッセージの履歴を閲覧し、アカウントを乗っ取ることができる。被害者が端末を変えたり、同じ番号で新しいアカウントを作成した後も、そのキーが有効な場合がある。
Signal の設定で新しいキーを生成すると、古いキーは今後のバックアップダウンロードには使えなくなるが、すでにアクセスされたバックアップを取り消すことはできない。
この手口は、Signal の暗号化やアプリ自体を破るものではない。被害者にバックアップを保護する認証情報を渡させることで成立している。
国務省の Rewards for Justice プログラムは、UNC5792 に関する情報に対し最高 1,000 万ドルの報奨金を提示している。
Google Threat Intelligence Group は、研究者らが WhatsApp や Telegram を狙った類似の手口を確認する以前の 2025 年初頭に、UNC5792 が Signal のリンクデバイス機能を悪用していたことを文書化している。