暗号は破られていない。突破口は“人”だ——AIVD/MIVDが警告するSignal/WhatsApp乗っ取りのいま

今日の深掘りポイント

• エンドツーエンド暗号の脆弱性ではなく、ワンタイムコードやPINを詐取する社会工学が主役です。
• 1アカウントの乗っ取りが、グループチャット全体の機密性・真正性を崩します（横展開の起点）。
• 「電話番号＝アイデンティティ」という設計が根にあるため、再登録・SIMスワップが強力な武器になります。
• 企業・省庁は登録ロック/2段階認証の100%適用と、グループ管理・本人確認の運用設計を“セット”で実装すべきです。
• MITRE ATT&CKでは、Spearphishing via Service→Valid Accounts→Account Manipulation→Collection/Exfiltrationという素直なキルチェーンが成立します。

はじめに

オランダの対外・防諜機関AIVDと軍情報機関MIVDが、ロシアに関連する攻撃者が政府関係者、軍関係者、ジャーナリストらのSignal/WhatsAppアカウントを標的化していると警告しました。技術的な暗号解読ではなく、被害者に直接接触して登録コードやPINを“自発的に”渡させることで、アカウントを奪取する手口です。すでに同国の公務員に被害が出ていると報じられ、グループチャットの監視・なりすまし送信など、情報戦の作法に直結するリスクが顕在化しています。

本件は、単なるフィッシングの話ではありません。国家間の競争が「通信の機密性」から「アイデンティティの奪取」へ重心を移している、その現実を突きつける出来事です。読者の環境で“今日から変えられること”がある一方、“設計の根”に向き合う必要もあります。両輪で考えていきます。

参考: オランダ当局の警告を報じる二次情報（英語）The Register, 2026-03-09。

深掘り詳細

事実（確認できること）

• AIVD/MIVDは、ロシア関連の攻撃者がSignalとWhatsApp利用者（政府関係者・軍関係者・記者など）に対し、ワンタイムの登録コードやアプリPINの共有を促す“直接接触型”のフィッシングを展開していると警告しています。攻撃者が暗号を破っているわけではありません。被害者の本人性を乗っ取ることで、暗号化通信の護りを“外側から”無力化しています。[The Register, 2026-03-09]
• オランダの公務員で実被害が確認され、アカウント奪取後のメッセージ閲覧やグループ監視が可能になったと報じられています。同種の手口は、政府・軍・報道機関など“情報の結節点”を世界的に狙う傾向があります。[The Register, 2026-03-09]
• 攻撃は、端末やアプリの“リンク機能”そのものの脆弱性を突くものではなく、番号再登録や本人の協力（だまし取り）を前提とするソーシャルエンジニアリングが核です。[The Register, 2026-03-09]

注記：Signal/WhatsAppの「リンク端末」や「デスクトップ接続」は通常、既存端末での操作（QRスキャン等）を伴います。遠隔から一方的に“リンク”するには、少なくとも再登録や被害者端末での操作が必要となるため、「リンク機能の悪用」は“再登録の成功”とセットで語るのが正確です（本稿は公開情報の範囲での分析に留めます）。

インサイト（見えてくること）

• 脅威の重心は「暗号」ではなく「アイデンティティ管理」に移っています。電話番号ベースのIDは利便性の代償として、再登録（番号乗っ取り）やコード詐取に弱い構造を抱えます。暗号は健全でも、正当な鍵の“持ち主”がすり替われば意味を失います。
• 横展開の起点は「グループ」。1名の乗っ取りで、参加者全体の“会話の機密性”だけでなく、“発話の真正性（この人の言葉か？）”が崩れます。攻撃者は読み取りにとどまらず、乗っ取った身分で追加のフィッシングや誤情報拡散を行えます。これは純粋なスパイ活動に、心理・情報操作（IO）の位相が重なることを意味します。
• 基本的な対策の“適用率”こそKPIです。今回のスコア指標が示唆するところは、緊急対応の重要性と、対策が現場で実装しやすい（＝行動可能性が高い）ことです。逆に言えば、未適用のまま放置するリスクが高い。登録ロック/2段階認証、番号移管ロック、キー変更通知の徹底運用など、“行動すれば差が出る”領域から埋めるのが現実的です。
• もうひとつの論点は“検知の難しさ”。E2EEは通信事業者やSOCからの可視性を奪うため、アカウント乗っ取りをシグナル（例：安全番号/セキュリティコードの変更通知、短時間での多地点ログイン試行、グループ参加の急増）で捉える運用設計が鍵になります。技術的対策と“人の手続き”を合体させる組織設計が問われます。

脅威シナリオと影響

以下は公開情報に基づく仮説シナリオであり、MITRE ATT&CKの観点から戦術・技術に沿って整理します。個別IDの適用は環境差があるため、技術名ベースで提示します。

• シナリオ1：ダイレクト詐取による再登録型アカウント乗っ取り

  • 流れ（仮説）
    • Initial Access: メッセージングサービス上でのなりすまし接触、あるいはSMS/通話でのSpearphishing（Spearphishing via Service）
    • Credential Access: ワンタイム登録コード/MFAコード/PINの詐取（Multi-Factor Authentication Interception/Abuse）
    • Valid Accounts: 正規の登録フローで攻撃者端末へ再登録
    • Account Manipulation: 二段階認証やPINの変更で被害者をロックアウト
    • Collection: 1:1/グループのメッセージ・添付を閲覧
    • Exfiltration/Impact: 情報の選択的抜粋、機微の外部送出、被害者になりすました発信
  • 影響
    • グループ全体の会話機密の喪失、意思決定妨害、対外関係（外交・報道）の信頼毀損。

• シナリオ2：SIMスワップ（番号移管）を伴う乗っ取り（一般論としての仮説）

  • 流れ（仮説）
    • Resource Development/Reconnaissance: 個人情報収集（生年月日、住所等）
    • Initial Access: 通信事業者への不正手続き（ソーシャルエンジニアリング）による番号移管
    • Credential Access: 登録コードのSMS受信を攻撃者側で掌握
    • Valid Accounts→Account Manipulation→Collectionはシナリオ1に同じ
  • 影響
    • 当人は“電波が切れる”まで気づきにくく、広範サービス（SMSに依存する2FA）の連鎖的乗っ取りにも波及し得ます。

• シナリオ3：グループ経由の二次感染（内側からの拡散）

  • 流れ（仮説）
    • Lateral Movement（人的）：乗っ取った身分でグループ内に“緊急コード共有”などの追加フィッシングを拡散（Spearphishing via Service）
    • Collection/Exfiltration：対象グループの拡大と情報出力の最適化（担当者・内部通達チャネルの特定）
  • 影響
    • 組織横断の“信頼網”が切り崩され、短時間で広域な情報攪乱が可能になります。

• シナリオ4：リンク機能の“組合せ”悪用（仮説）

  • 前提として「既に再登録を済ませた」場合に、デスクトップ/ウェブ連携を自身の環境へ追加し、恒常的な閲覧を確保する動きが想定されます。リンク機能単独の遠隔悪用は困難ですが、再登録後の“可用性確保”としては合理的です。
  • 影響
    • 端末回収や番号奪還後も、取りこぼしのリンクセッションが残存すると漏えいが継続します。

ATT&CKに沿った対策観点（抜粋）

• Phishing対策（Spearphishing via Service）：なりすまし検知・教育・模擬演習
• Valid Accounts/Account Manipulation：二段階認証・登録ロックの標準化、アカウント変更の監査
• Collection/Exfiltration：グループ管理と権限設計（参加承認、外部共有の抑止）
• Impact/Defense Evasion：キー変更通知を“運用で扱う”プレイブックの整備

セキュリティ担当者のアクション

“今日からできること”と“設計から見直すこと”を分けて提示します。

• 今日から（24–72時間）

  • 全社・全庁での登録ロック/二段階認証の100%適用
    • Signalの登録ロックPIN、WhatsAppの二段階認証を必須化し、適用率をKPI化します。未適用者の督促とサポート窓口をセットにします。
  • キャリアの番号移管ロック/ポートアウト保護の有効化
    • 利用中キャリアの提供する“番号移管ロック/アカウントPIN”相当機能の有効化を、役職者・広報・外交窓口など高リスク層から優先します（国・事業者により名称が異なるため現場で要確認です）。
  • キー変更（安全番号/セキュリティコード）通知の運用ルール化
    • 「通知＝一時停止＆別チャネルで本人確認」を徹底。グループオーナーは“疑わしい変更”時に発言制限や一時退会措置を即時実施できる権限設計を。
  • グループ管理の強化
    • 参加は“管理者承認のみ”、管理者の多重化（単一管理者の乗っ取りリスク低減）、外部転送や招待リンクの運用制限を適用します。
  • フィッシング対策の“超・局所訓練”
    • 「6桁コード/PINは誰にも教えない」「サポートや上司でも教えない」をテーマに、社内向け数分のマイクロラーニング＋疑似メッセージ演習を即日展開します。
  • インシデント初動プレイブックの整備
    • 兆候（急なログアウト・キー変更通知・深夜の招待連発）→通報→アカウント奪還（再登録、2FA再設定）→グループ横展開抑止（発言制御、全員へ注意喚起）の手順を明文化し、当番体制を回します。

• 30日で進める設計の見直し

  • 重要コミュニケーションの“二経路化”
    • 機微な決裁や指示系統は、メッセージアプリと異なる独立チャネル（業務用メール、コラボ基盤、音声）で相互確認する“二経路原則”を定義します。
  • 身元の検証儀式（プロトコル）の導入
    • キーワード認証や事前合言葉、名刺代わりのPGP指紋/安全番号の相互確認など、簡素で運用可能な“本人性確認の儀式”を作り、重要対話の前に挿入します。
  • 番号依存の低減
    • 高リスク部門は、電話番号ベースのIDに依存しない業務用メッセージングや社内ディレクトリ連携（IdP）への移行を検討します。
  • テレメトリとアラートの設計
    • アプリ内の可視性が低い前提で、周辺兆候（深夜・短時間における“安全番号変更”の多発、公式アカウントのプロファイル変更、短期間のグループ乱立）を運用で検知するダッシュボードを用意します。

• 役員・広報・外交窓口（ハイバリュー職種）への特記事項

  • 個人と公務・業務のアカウントや端末を明確に分離し、“広報窓口番号”を2FAの受け皿に使わない運用を徹底します。
  • グループ発言の“署名運用”（重要アナウンスは画像添付の定型スライドや、別系統の公式チャンネルと同時発信）で、なりすまし発言の検出性を上げます。

最後に。今回の指標は、緊急性と実行可能性が高い一方で、楽観できる要素は少ないことを示唆しています。だからこそ、テクノロジー設定（登録ロック/2FA）と運用（本人確認プロトコル/プレイブック）の“二刀流”で、今日から埋められるリスクを淡々と潰すことが、いちばんの近道です。現場の小さな習慣が、組織の大きな安全保障を支えます。

参考情報

• Dutch spies say Russian cybercrims are hijacking Signal, WhatsApp accounts – The Register (2026-03-09)