Googleの脅威インテリジェンスグループ(GTIG)は2025年2月19日、複数のロシア関連ハッカーグループによるSignalアプリの新たな攻撃手法を報告した。
主な事実は以下の通り
- 攻撃手法:Signalの「リンク済みデバイス」機能を悪用し、悪意のあるQRコードを通じて被害者のアカウントを攻撃者のデバイスに接続する。
- 確認された攻撃グループ:
- UNC5792(UAC-0195と関連)
- UNC4221(UAC-0185)
- Sandworm(APT44)
- Turla
- UNC1151
- 主な標的:ウクライナ軍関係者
- 攻撃手段:
- 偽装されたSignalグループ招待
- ウクライナ軍用アプリKropyvaを模倣したフィッシングページ
- WAVESIGNというWindowsバッチスクリプト
- PINPOINTという位置情報収集用JavaScriptツール
この報告に関連して、MicrosoftとVolexityは2025年2月中旬、ロシアのハッカーグループStar Blizzardが同様の手法でWhatsAppやMicrosoft Teamsも標的にしていることを明らかにした。
さらに、中国語話者を標的とした新たなSEOポイズニング攻撃も発見され、Signal、LINE、Gmail、Google Translateなどの偽のダウンロードページを通じて、MicroClipと呼ばれるマルウェアが配布されている。
from:Hackers Exploit Signal’s Linked Devices Feature to Hijack Accounts via Malicious QR Codes
【編集部解説】
まず注目すべきは、この攻撃手法の巧妙さです。Signalの正規機能である「リンク済みデバイス」を悪用することで、端末自体を完全に乗っ取ることなく、メッセージの傍受が可能になっています。これは、エンドツーエンド暗号化を備えた安全なメッセージングアプリでさえも、ユーザーインターフェースの設計次第で深刻な脆弱性となりうることを示しています。
特に懸念されるのは、この攻撃が「気付きにくい」という特徴です。Googleの主任アナリストDan Black氏によると、一度デバイスがリンクされると、攻撃の検知が非常に困難になるとのことです。通常のマルウェア感染と異なり、正規の機能を使用しているため、セキュリティソフトでも検出が難しいのです。
実際の被害も確認されており、ウクライナ軍の事例では、傍受された情報を基に砲撃が行われ、人的被害が発生したことが報告されています。これは、サイバー攻撃が現実世界に直接的な影響を及ぼす典型的な例といえるでしょう。
この問題は、プライバシー保護を重視するメッセージングアプリの設計における新たな課題を提起しています。利便性を高めるマルチデバイス機能と、セキュリティのバランスをどう取るべきか。Signal社は既にこの問題に対応してリンク機能の強化を行っていますが、完全な解決は容易ではありません。
さらに注目すべきは、この手法が他のメッセージングアプリにも応用されている点です。WhatsAppやTelegramなども同様の手法でターゲットにされており、secure messagingアプリ全体の設計思想に影響を与える可能性があります。
企業や組織にとっては、セキュアなコミュニケーションツールの選定基準を見直す必要が出てくるかもしれません。特に、リモートワークが一般化した現在、業務用メッセージングツールのセキュリティ設計は、より慎重に検討される必要があるでしょう。
最後に、この事例は「QRコード」という身近な技術が攻撃の入り口となることを示しています。便利な技術であっても、使用する際は細心の注意が必要です。特に、見知らぬ相手から送られてきたQRコードや、予期せぬ場面で表示されるQRコードには警戒が必要でしょう。