Signalバックアップキーを狙うフィッシング攻撃、メッセージアーカイブが標的に

Signalバックアップキーを狙うフィッシング攻撃、メッセージアーカイブが標的に

新たなフィッシング攻撃の波が、特に効果的な手口でSignalユーザーを狙っています。犯罪者がSignalサポートを装い、バックアップ復旧キーを騙し取ることで、被害者の暗号化されたメッセージアーカイブへの完全なアクセスを手に入れているのです。このSignalバックアップキーを狙うフィッシング攻撃キャンペーンは、安全なメッセージングアプリに関する厳しい真実を浮き彫りにしています。つまり、技術は数学的に破ることが不可能でも、それを利用する人間は完全に脆弱なままだということです。

これはSignalの暗号化の欠陥ではありません。ソーシャルエンジニアリングが技術的防御を常に上回り、最もセキュリティ意識の高いユーザーでさえ、信頼できると思える送信元から資格情報を求められれば不意を突かれる可能性があることを改めて示すものです。

Signalサポートなりすまし詐欺の手口

この攻撃は、非常に価値の高い標的に対して適用された、おなじみのフィッシングの手口に従っています。攻撃者はSMSやソーシャルメディア、あるいはSignal自体を通じてSignalユーザーに接触し、Signalサポートスタッフを装います。メッセージは通常、アカウント確認、セキュリティ問題、または必要なバックアップ移行などを理由に、緊急性を装って要求を行います。

目的は常に同じで、被害者の64文字のバックアップ復旧キーを引き出すことです。Signalのセキュアバックアップ機能は、このキーでメッセージアーカイブを暗号化しますが、キーはSignal自身のサーバーと共有されることはありません。この設計はユーザーのプライバシーを保護するためのものです。しかし、この文脈ではそれが弱点となります。なぜなら、攻撃者と誰かのメッセージ履歴の完全な読み取り可能なコピーとの間にあるのは、そのキーだけだからです。

攻撃者が復旧キーを入手すれば、バックアップアーカイブを独自にダウンロードして復号できます。それ以上の認証は必要ありません。その結果、アーカイブ内のすべてのメッセージ（連絡先、グループチャット、添付ファイルを含む）に完全にアクセスされ、アクセスが発生したことを被害者が知る術はありません。

Signalは、電話、SMS、ソーシャルメディアを通じてユーザーに自発的に連絡することは決してなく、PINや復旧キーを要求することも決してないと公式に確認しています。このポリシーは明確ですが、説得力のある文面のメッセージでは見落とされがちです。

盗まれたバックアップキーが、パスワードの乗っ取りよりも危険な理由

ほとんどの人は、パスワードが盗まれることが深刻だと理解しています。しかし、バックアップ復旧キーが盗まれることはさらに悪い可能性があると認識している人は少ないのです。なぜなら、ほぼすべての最新のアカウント保護層を迂回してしまうからです。

攻撃者がパスワードを盗んだ場合でも、二要素認証、ログインアラート、デバイス確認、アカウントロックアウトといった潜在的な障壁に直面します。バックアップ復旧キーには、そうしたチェックポイントが一切ありません。それは静的で暗号化された資格情報であり、アーカイブされたデータを直接復号します。攻撃者はあなたのアカウント、電話番号、アクティブなセッションに触れる必要はありません。被害はオフラインで静かに行われ、多くの場合、被害者への通知は一切ありません。

これが、Signalユーザーがアプリの暗号化とは全く無関係な手段で侵害されるケースが増えている理由です。暗号化は堅牢です。問題は、ユーザーがそれを保護する鍵を渡すように操作されたときに起こることです。

これを、ドイツの公務員をSignal経由で標的にしたロシア関連のフィッシングキャンペーンと比較してみてください。そのケースでは、国家が支援する攻撃者が同じ基本テクニックを使い、信頼できる組織を装ってSignalの通信にアクセスしようとしました。攻撃者の高度さは変わっても、悪用される脆弱性は変わりません。それは人間の信頼です。

暗号化メッセンジャーだけに頼ることの危険性をこれらの攻撃が示すもの

Signalバックアップキーを狙うフィッシング攻撃の持続性と有効性は、安全な通信ツールについて人々がどのように考えているかという、より広範な問題を露呈しています。強力な暗号化は安全性の感覚を生み出しますが、それは周辺のセキュリティプラクティスにまで常に及ぶとは限りません。

Signalの暗号化を理由にこのアプリに頼るユーザーは、アカウント管理の習慣、バックアップ設定、予期しないサポート要求への対応方法に対して、精査を緩めがちです。攻撃者が悪用するのはまさにそのギャップです。アプリ自体がセキュリティ戦略全体となり、より広範なアプローチの中の一つの層ではなくなってしまうのです。

同様のパターンは他のメッセージングプラットフォームでも見られます。何百万ものユーザー記録を流出させたWhatsAppの資格情報ダンプも、同様の論理を辿りました。プラットフォームのセキュリティ機能は弱点ではありませんでした。ユーザーの資格情報とアカウント管理プラクティスが弱点だったのです。

これは、暗号化メッセンジャーを使う価値がないという意味ではありません。それらは絶対に使うべきです。これは、暗号化は最低限のものであり、上限ではないこと、そしてユーザーはその上にセキュリティ習慣を構築する必要があることを意味しています。

実践的な防御策：MFA、VPN、ソーシャルエンジニアリングの危険信号の認識

Signalバックアップキーのフィッシングから身を守るには、技術的な手順と、一方的な連絡への対応方法の転換の両方が必要です。

まず、Signalのバックアップ設定から始めましょう。Signalのセキュアバックアップ機能を使用する場合は、64文字の復旧キーをマスターパスワードと同じように扱ってください。オフラインで安全な場所に保管し、どのように要求が表現されていても、決して誰とも共有しないでください。Signalのスタッフがそれを求めることは決してありません。

Signal PINと登録ロックを有効にして、新しいデバイスでの不正なアカウント再登録を防止してください。これはバックアップキーを直接保護するものではありませんが、別の一般的な攻撃経路を塞ぎます。

Signalに限らず、Signalプロフィールに関連付けられた電話番号やメールアドレスにリンクされたアカウント全体で多要素認証を適用してください。Signalは登録に電話番号を使用するため、SIMスワッピング攻撃や侵害された電話番号によってさらされるリスクが増大する可能性があります。トークンベースの認証は、隣接するサービスを通じたアカウント乗っ取りを試みる攻撃者にとって有意義な障壁を追加します。

自宅外のネットワークでVPNを使用すると、トラフィックがマスクされ、標的型フィッシング試行前に偵察を行う攻撃者に対してデバイスやブラウジング活動の可視性が低下し、保護層が追加されます。

しかし、最も重要な防御策は、一方的な連絡に対する懐疑心です。Signalサポートを名乗り、資格情報の確認や復旧キーの確認、またはアカウント問題を解決するためのリンクのクリックを求めるメッセージは、デフォルトでフィッシング試行として扱うべきです。正当なサポートシステムはこのような方法で運営されてはいません。

これがあなたにとって意味すること

Signalバックアップキーを狙うフィッシング攻撃キャンペーンは、どれほどよく設計されたツールであっても、その周りに習慣を構築していないユーザーを完全に保護することはできないという具体的な注意喚起です。Signalの暗号化は強固なままです。リスクは、その暗号化の鍵がどのように管理され保護されるかにあります。

今すぐ時間を取ってSignalの設定を監査し、バックアップ復旧キーがどこに保存されているかを確認し、より広範なアカウントセキュリティの状況を見直してください。ネットワーク内でSignalを使用している人々、特にセキュリティニュースを注意深く追っていない可能性のある人々と、この認識を共有してください。ソーシャルエンジニアリングは、それを予期していない人々に対して最も効果的に機能します。