概要
FBIとCISAは2026年6月26日、ロシア情報機関に関連するハッカーグループがSignalユーザーを標的とした攻撃手法をさらに進化させたとして共同警告を発出した。今回の警告は2026年3月に発出された警告を更新するもので、攻撃者がアカウント乗っ取りに加え、バックアップリカバリーキーの窃取という新段階を攻撃に組み込んだことを明らかにしている。
リカバリーキーを奪われると、攻撃者は被害者のメッセージ履歴を含むSignalアカウントのバックアップを復元できるため、端末の変更や電話番号の変更を行っても継続的なアクセスが可能になる。Signalの暗号化技術自体は突破されておらず、ソーシャルエンジニアリングを通じた個人アカウントの侵害が問題の核心だと指摘されている。
攻撃手法の詳細
攻撃は複数の段階を経て実行される。まず攻撃者は「Signalサポート」を装ったフィッシングメッセージを送信し、「イランや旧ソビエト諸国のハッカーによる攻撃が増加している」などと偽の緊急事態を告げる。次に、「強制的な2段階認証の設定が必要」あるいは「データ喪失の危機を回避するためのデータ同期エラーへの対処」と称して、ユーザーをバックアップ機能の有効化に誘導する。
その後、バックアップ設定画面に表示されるリカバリーキーをコピーしてメッセージ内で共有するよう求める。このキーが攻撃者の手に渡った時点で、被害者のすべてのプライベートメッセージおよびグループメッセージ履歴へのアクセスが可能になる。新規アカウントを作成してもすでに取得されたリカバリーキーは自動的に無効化されない点も注意が必要で、被害を受けた場合は明示的に新しいキーを再生成する必要がある。
標的と攻撃グループ
この活動はUNC5792およびUNC4221として追跡されている2つのグループが関与しており、FSB(ロシア連邦保安局)の将校や、ロシア軍事部門の関係者が含まれているとされる。標的は情報価値の高い個人に集中しており、具体的には以下が挙げられている。
- 現職および元職の米国・国際政府関係者
- 軍事要員
- 政治指導者・政治家
- ジャーナリスト
- ウクライナ当局者および重要人物
推奨される対策
FBIとCISAは以下の対策を推奨している。
- Signalアプリ内の「Signalサポート」からのメッセージを信用しない — 正規のサポートは公式メールのみで連絡する
- チャット上でバックアップキー・検証コード・PINを絶対に共有しない
- 設定の「リンク済みデバイス」を定期的に確認し、不審なデバイスを削除する
- リカバリーキーが漏洩した可能性がある場合は直ちに新しいキーを再生成する(ただし、すでにダウンロードされたバックアップへのアクセスは防止できない)
- 被害に遭った場合はFBIのインターネット犯罪苦情センター(IC3)に報告する