ドイツの連邦憲法擁護庁(BfV)と連邦情報セキュリティ庁(BSI)が、メッセージングアプリ「Signal」を悪用したフィッシング攻撃について共同で警告を発しました。国家支援の疑いがある脅威アクターが、政治家、軍関係者、外交官、調査報道ジャーナリストといった高位の標的を狙っており、Signalの信頼性を逆手に取った巧妙な手口が確認されています。セキュリティ意識の高いユーザーが利用するSignalだからこそ、この攻撃の危険性は看過できません。
この記事のポイント
- ドイツの2つの連邦機関が、Signalを悪用した国家レベルのフィッシングキャンペーンについて共同警告を発出
- 攻撃手法は「PINの窃取」と「デバイスリンク機能の悪用」の2つが確認されている
- ロシア系グループ(Star Blizzard、UNC5792)との関連が疑われている
攻撃の背景と標的
ドイツの連邦憲法擁護庁(Bundesamt für Verfassungsschutz, BfV)と連邦情報セキュリティ庁(BSI)は、Signalメッセージングアプリを通じたフィッシング攻撃に関する共同アドバイザリーを発表しました。この攻撃キャンペーンは、国家支援の脅威アクターによるものと見られています。
標的となっているのは、「ドイツおよびヨーロッパの政治、軍事、外交分野の高位の人物、ならびに調査報道ジャーナリスト」です。Signalはエンドツーエンド暗号化を備えたセキュアなメッセージングアプリとして広く利用されていますが、まさにそのセキュリティを重視するユーザー層が狙われている点が特徴的です。攻撃が成功した場合、個人の機密通信が閲覧されるだけでなく、グループチャットを通じてネットワーク全体が侵害される可能性があると警告されています。
攻撃手法1:PIN窃取によるアカウント乗っ取り
最初の攻撃手法では、攻撃者が「Signal Support(Signalサポート)」や偽の「Signal Security ChatBot」になりすまし、ユーザーに接触します。そしてデータ損失の脅威を示しながら、PINやSMS認証コードの提供を求めます。
ユーザーがPINを提供してしまうと、攻撃者は自分が管理するデバイスでそのアカウントを登録でき、被害者のプロフィール、設定、連絡先、ブロックリストにアクセスできるようになります。この手法はソーシャルエンジニアリングの典型であり、公式サポートを装うことで警戒心を解かせる巧妙な手口です。Signalの公式サポートがPINやSMSコードをメッセージで要求することは決してないという点を覚えておくことが重要です。
攻撃手法2:デバイスリンク機能の悪用
2つ目の攻撃手法はさらに技術的に洗練されています。攻撃者は悪意のあるQRコードを被害者にスキャンさせ、Signalのデバイスリンク機能を悪用します。Signalにはデスクトップ版やタブレット版と同期するためのデバイスリンク機能がありますが、この仕組みを逆手に取ることで、攻撃者のデバイスを被害者のアカウントに紐付けることが可能になります。
この方法でリンクに成功すると、攻撃者は過去45日分のメッセージを含むアカウント情報にアクセスできます。しかも被害者は自分のアカウントに異常があることに気づかないまま、通常通りSignalを使い続けることになります。攻撃者はバックグラウンドで静かにメッセージを傍受し続けるため、検出が非常に困難です。
被害の深刻さとネットワーク全体への影響
共同アドバイザリーでは、「メッセンジャーアカウントへの不正アクセスが成功すると、個人の機密通信が閲覧されるだけでなく、グループチャットを通じてネットワーク全体が侵害される可能性がある」と強く警告しています。
これは単なる個人情報の漏洩にとどまらない深刻な問題です。政治家や軍関係者がSignalのグループチャットで機密性の高い情報を共有していた場合、一人のアカウントが侵害されるだけで、グループ全体の通信内容が攻撃者に筒抜けになります。外交交渉の内容、軍事作戦の情報、調査報道の取材過程など、国家安全保障に直結する情報が漏洩するリスクがあるのです。
攻撃の帰属(アトリビューション)
このキャンペーンの背後にいる攻撃者は現時点では正式に特定されていませんが、同様の攻撃手法はロシアに関連するグループに帰属されています。具体的には、Star Blizzard(旧SEABORGIUM/COLDRIVER)およびUNC5792との関連が疑われています。これらのグループは、以前からヨーロッパの政治家や防衛関係者を標的としたサイバースパイ活動で知られており、今回のキャンペーンもその延長線上にあると考えられています。
知っておくと便利なTips
- Signal PINは絶対にメッセージで共有しない ― 公式サポートがPINを要求することはありません。PINを聞かれたら、それは100%詐欺です
- 登録ロック(Registration Lock)を有効にする ― Signalの設定 > アカウント > 登録ロックをオンにすることで、PINなしでの不正なデバイス登録を防止できます
- リンク済みデバイスを定期的に確認する ― Signalの設定 > リンク済みデバイスを開き、心当たりのないデバイスがないか定期的にチェックし、不審なデバイスは即座に削除しましょう
- 不審なQRコードをスキャンしない ― 出所不明のQRコードは絶対にスキャンせず、デバイスリンクは自分が意図した時だけ行いましょう
まとめ
今回のドイツ連邦機関による共同警告は、セキュアとされるメッセージングアプリであってもソーシャルエンジニアリングには脆弱であるという事実を改めて浮き彫りにしました。Signalの暗号化技術自体が破られたわけではなく、あくまで人間の心理的な隙を突く攻撃です。だからこそ技術的な対策と併せて、ユーザー自身のセキュリティ意識が最大の防御線となります。PINの非共有、登録ロックの有効化、リンク済みデバイスの定期確認という基本的な対策を徹底するだけで、この種の攻撃の大部分を防ぐことができます。国家レベルの脅威アクターが関与している可能性がある以上、特に公的な立場にある方々は一層の警戒が求められます。
📎 元記事: https://thehackernews.com/2026/02/german-agencies-warn-of-signal-phishing.html
コメント