ロシア関連の脅威アクター、Signal Messengerを積極的に標的化

ロシア関連の脅威アクターがSignalメッセンジャーを標的にする活動を実施中

• Google脅威インテリジェンスグループ（GTIG） は、ロシア国家関連の脅威アクターがSignalメッセンジャーのアカウントを標的にする活動を観測した。これは、ロシアによるウクライナ再侵攻に関連した機微な政府・軍事通信へのアクセスを狙う戦時上の需要によって引き起こされたものとみられる。こうした戦術や手法は、今後さらに多くの脅威アクターや地域へ拡散する可能性がある。

• Signalは、兵士、政治家、記者、活動家など、監視や諜報活動の一般的な標的の間で人気が高く、機微な情報を傍受しようとする敵対者にとって高価値の標的となっている。この脅威は、WhatsAppやTelegramのような他の人気メッセンジャーアプリにも広がっている。

• Signalチームとの協力を通じて、最新のSignalバージョンでは類似のフィッシングキャンペーンに対する保護機能が強化された。最新バージョンへのアップデートを推奨する。

Signalの「リンク済みデバイス」機能を悪用したフィッシングキャンペーン

• ロシア関連アクターは、Signalアカウントを侵害するために「リンク済みデバイス」機能を悪用している。この機能は、複数のデバイスで同時にSignalを利用できるようにするものだ。悪意のあるQRコードを通じて、被害者のアカウントをアクターが制御するSignalインスタンスにリンクさせようとしている。

• リモートフィッシング作戦では、悪意のあるQRコードがSignalのリソースを装って使用されている。ウクライナ軍で使われる特殊なアプリケーションを装ったフィッシングページに、QRコードが含まれていることもある。

UNC5792: 改変されたSignalグループ招待

• UNC5792は、Signalアカウントを侵害するために「グループ招待」ページを改変し、悪意のあるURLへリダイレクトさせている。これは、被害者のSignalアカウントをアクターが制御するデバイスにリンクさせようとする試みだ。

UNC4221: カスタムSignalフィッシングキット

• UNC4221は、ウクライナ兵が使用するSignalアカウントを標的にしている。このグループは、Kropyvaアプリケーションを模倣したフィッシングキットを運用しており、信頼できる連絡先からのSignalグループ招待を装っている。

ロシアおよびベラルーシによるSignalメッセージ窃取の試み

• 複数の地域的脅威アクターが、AndroidおよびWindowsデバイス上でSignalデータベースファイルを窃取する能力を運用している。APT44は、WAVESIGNというWindows Batchスクリプトを使用してSignalメッセージを定期的にクエリし、Rcloneを使って窃取している。

今後の見通しと影響

• 複数の脅威アクターがSignalを標的にしていることは、安全なメッセージングアプリケーションに対する脅威が増大していることへの警告となっている。こうした脅威には、フィッシングやマルウェア配布のようなリモートのサイバー作戦だけでなく、標的のロック解除済みデバイスへのアクセスを確保できる近接アクセス作戦も含まれる。

• 安全なメッセージングアプリケーションを利用する個人は、画面ロックの有効化、OSの更新、Google Play Protectの有効化、QRコードやWebリソースへの注意、二要素認証の利用などによって自らを保護すべきである。