ロシアのハッカー、Signalのバックアップ復元キーを標的に：FBIが警告

ロシアのハッカー、Signalのバックアップ復元キーを標的に　FBIが警告

BleepingComputer – June 26, 2026

Signalのユーザーを狙ったフィッシング攻撃キャンペーンが進化し、被害者の「バックアップ復元キー」を盗んで古いメッセージにアクセスする手口が横行しているそうだ。FBIは26日、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）と共に注意喚起を行った。

FBIによると、このキャンペーンにはロシアの諜報機関（RIS）が関与しており、連邦保安庁（FSB）国境警備局の工作員や露軍のために活動するその他のアクターも含まれる模様。「UNC5792」「UNC4221」として追跡されているキャンペーンの標的は、米国および各国の現職・元政府高官、軍関係者、政治家、ジャーナリスト、そしてウクライナに拠点を置く主要な関係者など、諜報面で価値の高い個人とされている。

今回の注意喚起は、今年3月の勧告をアップデートしたものという位置付けのようだ。前回はSignalなど商用メッセージングアプリのユーザーを狙い、エンドツーエンド暗号化を破るのではなく、フィッシング攻撃でアカウントを乗っ取る脅威アクターについて注意を呼びかけており、認証コードやアカウントのPINを盗み出そうとしたり、攻撃者が制御するデバイスをSignalアカウントにリンクさせようとしたりするフィッシングメッセージに焦点が当てられていた。

しかし、今回は攻撃手口の進化が強調されており、二要素認証の有効化を仕向けるフィッシングメッセージでデータのバックアップと復元キーを作成させていると指摘。さらに2通目のメッセージで復元キーを盗み出し、バックアップをダウンロードして復号していると説明された。

また、アカウント侵害後に見落としがちな復元に関するシナリオにも触れており、バックアップ復元キーを奪われた場合、Signalで同じ電話番号を使って新しいアカウントを作成しても、盗まれた古いキーは無効化されないと警告している。

中国製フレームワークが20万超の詐欺サイトを支える基盤に

SecurityWeek –  June 27, 2026

Infobloxの報告によると、中国のオープンソースフレームワーク「Uni-App」で構築された投資詐欺用テンプレートを使うWebサイトは20万件を超えるという。

Uni-Appはクロスプラットフォーム開発ツールキットで、開発者はVue(.)jsのコードベースを作成することで、これをモバイルやデスクトップのアプリケーション、あるいはモバイル最適化されたWebサイトとして同時に展開することが可能。中国で広く利用され、開発者エコシステムにも支えられているこのフレームワークは、何千もの正規製品の基盤になっている。

開発元のDCloudがこうした不正利用に関与している様子は見受けられないものの、Infobloxは脅威アクターが投資詐欺用テンプレートを販売していること、そしてそれらを使用した多数の詐欺サイトが同一の活動クラスターに関連しているとみられることを突き止めたようだ。さらにInfobloxは、詐欺インフラを支える23万6,000以上のセカンドレベルドメインを特定。その内容は偽の暗号資産取引所から偽のギャンブルサイト、ブランドなりすまし、WhatsAppフィッシング、多言語対応の「豚の屠殺」型詐欺（ロマンス詐欺の一種）サイトまで多岐にわたるそうだ。

DCloudの利用を示すフィンガープリントを持つサイトの大部分は投資詐欺ドメインであり、これらは互いに無関係な複数のオペレーターによって運営されているとのこと。米国で数百万ドル規模の損失をもたらしたとされるLightning Shared Scooter Co.（LSSC）も、Uni-Appを使っていたと報告されている。