セキュリティ

複数のロシア系脅威アクターが「Signal」などのメッセージングアプリを対象に機密情報収集活動を行っているとGoogleが警告


Google脅威インテリジェンスチーム(GTIG)が、メッセージングアプリ「Signal」に対して、ロシアの諜報機関とつながりのある脅威アクターによるアカウント侵害の取り組みが増加していることを報告しました。「Signal」のほか、「WhatsApp」や「Telegram」などに対しても、同様の手法が用いられているとのことで、GTIGはコミュニティが脅威から適切に身を守れるようにと、警告を発しています。

Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger | Google Cloud Blog
https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger/


Russia-linked APTs target Signal messenger
https://securityaffairs.com/174397/cyber-warfare-2/russia-linked-threat-actors-exploit-signals-linked-devices-feature.html

Russia-aligned hackers are targeting Signal users with device-linking QR codes - Ars Technica
https://arstechnica.com/information-technology/2025/02/russia-aligned-hackers-are-targeting-signal-users-with-device-linking-qr-codes/

Signalは、電子フロンティア財団が「最も安全なメッセージングアプリ」で最高評価をつけた、安全性が高いと考えられているメッセージングアプリとして知られています。

政治家やジャーナリスト、軍人、活動家、その他の危険にさらされているコミュニティなど、スパイ活動や監視の対象とされる人々の間で人気があるため、機密情報を傍受したいと考えている敵対者にとっても価値があるアプリだといえます。


GTIGによれば、Signalを攻撃する脅威アクターが悪用するのは「リンク済み端末(Linked Devices)」機能だとのこと。この機能は、デスクトップ版Signalとアプリ版Signalで、やりとりしたメッセージの内容を同期させるものとして提供されています。過去のメッセージ履歴を同期したり、過去の履歴を他の端末へ移したりすることはできません。

リンク済み端末 – Signal サポート
https://support.signal.org/hc/ja/articles/360007320551-リンク済み端末


「リンク済み端末」機能で端末を追加する際、QRコードの読み取りを行いますが、GTIGによると、「脅威アクターの管理するSignalインスタンス」にリンクした悪意あるQRコードを読み込まされた場合、被害者と脅威アクターの両方に、リアルタイムでメッセージが同期配信されるようになるとのこと。

悪意あるQRコードはグループ招待や警告メッセージ、正当なペアリング手順などに偽装して読み込まれる方法があり、中には、ウクライナ軍が使用する特殊なアプリケーションを装ったフィッシングページに、悪意あるQRコードが埋め込まれていた事例も確認されています。

また、Signalアカウントを侵害するため、ロシアによるスパイ活動の1つとして追跡されている「UNC5792」が、グループ招待のページ内にある正当なリンクを悪意あるURLへのリダイレクトに改竄していた事例もあるとのこと。

なお、端末単位を標的にした攻撃のほかに、AndroidおよびWindowsで、Signalのデータベースファイルを盗む動作も確認されています。攻撃はロシア政府に関連する脅威アクターのほか、親ロシア国であるベラルーシに関連する「UNC1151」も行っていることがわかっています。

GTIGによると、直近数カ月の攻撃は主にSignalを標的にしているものの、近い将来に確実に激化し、メッセージングアプリ全体に対する脅威になると警告。個人用端末を狙った攻撃への対策として、GTIGは以下を挙げています。

・すべてのモバイル端末で画面ロックを有効にして、使用するパスワードを複雑なものにすること
・OSとアプリのアップデートを行い、常に最新の状態にしておくこと
・Signalの設定画面で、接続された端末に不審なものがないか定期的に確認すること
・アプリ更新やグループ招待、正当な通知などに見せかけたQRコードや、即時の操作を求められたときには注意すること
・利用可能であれば指紋、顔認証、セキュリティキー、ワンタイムパスワードなどを用いた2要素認証を導入して、新規デバイスへのログインや新規デバイスのリンクがあったときに確認すること
・AndroidユーザーはGoogle Playプロテクトを有効にすること
・iPhoneユーザーはロックダウンモードの使用を検討すること

この記事のタイトルとURLをコピーする

・関連記事
Xが暗号化メッセージングサービス「Signal」へのリンクをブロックしているという報告 - GIGAZINE

メッセンジャーアプリのSignalがTelegramよりも安全であると専門家によって広くみなされている理由とは? - GIGAZINE

メッセージアプリ「Telegram」が「匿名性が高い」アプリと扱われているのはイメージで実際には全然そんなことはない - GIGAZINE

メッセンジャーアプリ「Signal」へのアクセスをロシアが制限 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ウェブアプリ,   セキュリティ, Posted by logc_nt

You can read the machine translated English article Google warns that multiple Russian threa….