ロシアハッカーがSignalの「リンク済みデバイス」機能悪用し、標的をリアルタイムでスパイ

佐々山 Tacos

2025.02.20

ロシアハッカーがSignalの「リンク済みデバイス」機能悪用し、標的をリアルタイムでスパイ

SecurityWeek – February 19, 2025

UNC5792やUNC4221、APT44などのロシアの国家支援型アクターによるSignal Messengerアカウントを侵害しようとする試みが増加していることについて、Googleの脅威インテリジェンスグループ（GTIG）が報告。標的になっているのはロシアの諜報機関が関心を寄せる人物のアカウントで、特にSignalの「リンク済みデバイス」機能を悪用する手口が広く利用されているという。

Signalは、軍関係者や政治家、ジャーナリスト、活動家など、監視やスパイ活動の対象になりやすい層の個人に人気のメッセージングアプリであるが故、敵対者にとって価値の高いターゲットとなっている。こうした人々がSignal上でやり取りする内容は、傍受できれば多様なインテリジェンス要件を満たし得る情報が含まれることがあるためだ。

GTIGによれば、Signalアカウント侵害のためにロシア関連のアクターらが用いる手口の中でも、最も新しく、かつ広く使用されているのが、「リンク済みデバイス」という正規の機能を悪用するもの。これは複数のデバイスで同時にSignalを使用できるようにするもので、デバイスを追加でリンクさせる手段としてはQRコードが一般的。このためロシアの脅威アクターらは、スキャンするとターゲットアカウントをアクター自身のSignalインスタンスとリンクさせることのできる有害なQRコードを作成。これを、フィッシングによって対象となる個人に配布・スキャンさせ、リアルタイムでターゲットのやり取りを傍受することを目指しているという。この手口であれば、標的デバイスを完全に乗っ取ることをせずに会話を盗み見ることができる上、Signalのエンドツーエンド暗号化を破る必要もない。

この悪意あるQRコードは、チャットグループへの招待通知やセキュリティアラートなど、正規のSignalリソースに見せかけてあったり、SignalのWebサイトから送られてきたかのようなデバイスペアリングの説明書きに見せかけてあることが多いという。また、ウクライナ軍関係者を狙った攻撃ではよりカスタマイズされたバージョンのフィッシングが実施されており、有害QRコードはウクライナ軍が使う専門のアプリ「Kropyva」に偽装したフィッシングページに埋め込まれていた。

GTIGはこのほかにも、APT44がWindowsのバッチスクリプト「WAVESIGN」を使い、標的ユーザーのSignalデータベースからメッセージを引き出すためのクエリを定期的に送信する様子など、ロシアやベラルーシの実施するより広範なSignalメッセージ窃取の試みについても報告。Signalユーザーに対しては、全モバイル端末で大文字と小文字、数字、記号を混ぜた長くて複雑なパスワードによるスクリーンロックを有効化することや、OSやSignalなどのアプリを最新状態に保つことなど、推奨される対策を紹介している。