Packet Pilot X (Twitter)
2026-02-07

ドイツの機関が政治家、軍、ジャーナリストを狙ったSignalフィッシングを警告

ドイツの連邦憲法擁護局(BfV)と連邦情報セキュリティ局(BSI)は、国家支援の脅威者によるSignalメッセージングアプリを利用したフィッシング攻撃の警告を発表しました。この攻撃は、政治、軍、外交の高官や調査ジャーナリストをターゲットにしており、正当な機能を悪用して被害者のチャットや連絡先リストにアクセスすることを目的としています。攻撃者は「Signalサポート」や「Signalセキュリティチャットボット」を名乗り、被害者にPINや確認コードを提供するよう促します。これにより、攻撃者は被害者のアカウントにアクセスし、メッセージを傍受したり、被害者になりすますことが可能になります。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

7.0 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • ドイツの機関がSignalアプリを利用したフィッシング攻撃を警告しています。
  • 攻撃者は正当な機能を悪用し、被害者のアカウントにアクセスする手法を用いています。

社会的影響

  • ! この攻撃は、政治家やジャーナリストのプライバシーを脅かし、情報の漏洩を引き起こす可能性があります。
  • ! 国家の安全保障に関わる情報が漏れることで、国際的な緊張を引き起こす恐れがあります。

編集長の意見

Signalアプリを利用したフィッシング攻撃は、特に政治家やジャーナリストといった重要な情報を扱う人々に対して深刻な脅威をもたらします。このような攻撃は、単に個人のプライバシーを侵害するだけでなく、国家の安全保障にも影響を及ぼす可能性があります。攻撃者が正当なサポートを装って接触する手法は、ユーザーの警戒心を緩めるため、非常に巧妙です。ユーザーは、信頼できるサポートからの連絡であるかどうかを常に確認する必要があります。また、PINや確認コードを他者に提供することは絶対に避けるべきです。さらに、Registration Lockを有効にすることで、他者が不正にアカウントを登録するのを防ぐことができます。定期的にリンクされたデバイスのリストを確認し、不明なデバイスを削除することも重要です。今後、SignalやWhatsAppのようなプライバシー重視のアプリが狙われる可能性が高まるため、ユーザーは常に最新の情報を把握し、適切な対策を講じることが求められます。

解説

BfV/BSIが警告:Signalの正規機能を装うフィッシングで要人級アカウント奪取が進行中です

今日の深掘りポイント

  • メッセージング基盤そのものは堅牢でも、「番号ベースの本人性」と「ユーザー確認行動」の隙が突かれやすいです。
  • 攻撃は“サポート”を名乗る対話型の社会工学が軸。PINや確認コードの搾取、QRコードの悪用で正規機能を踏み台にします。
  • 奪取後は新規メッセージの傍受・なりすましが主眼。過去履歴よりも、現在進行形の意思決定と対人信頼の乗っ取りが狙い目です。
  • E2EEは盗聴防止には強い一方、運用現場では「安全番号の検証」や「OOB(二経路)確認」の徹底が差になります。
  • 直ちにVIPコミュニケーションの運用ルールを見直し、Registration Lock、リンク済みデバイス監査、キャリアのポートアウト保護をセットで強化すべきです。

はじめに

ドイツの連邦憲法擁護局(BfV)と連邦情報セキュリティ局(BSI)が、国家支援の脅威者によるSignalを悪用したフィッシングを公に警告しました。標的は政治・軍・外交の高官から調査ジャーナリストまで、情報の価値と波及力が最大級の層です。攻撃は「Signalサポート」「Signalセキュリティチャットボット」などを名乗るメッセージでPINや確認コードの提供を促し、正規の登録・リンク機能を逆手に取ってアカウントを乗っ取るという、いわば“暗号化を回避するための、本人性の攻防”です。

現場感で言えば、これは「脆弱性の話」ではなく「運用と人の話」になります。つまり、今すぐ運用を変えられる領域が大きい分、対応の巧拙がそのままリスクの上下に跳ね返る局面です。

参考情報(報道):

深掘り詳細

事実整理:いま何が起きているか

  • BfV/BSIは、国家支援の脅威者がSignalでのアカウント乗っ取りを狙うフィッシングを展開中と警告しています。標的は政治・軍・外交・調査報道の要人級アカウントです。
  • 攻撃メッセージは「Signalサポート」「セキュリティチャットボット」などの肩書きを偽装し、ユーザーに以下を促します。
    • SMS/音声で届く登録用の確認コード
    • アカウントのRegistration Lockに用いるPIN
    • 場合によってはQRコードのスキャン(「検証」「問題解決」を口実に)
  • これにより、攻撃者は正規手順でアカウントを再登録またはリンクし、以後の通信を傍受・なりすまし可能になります。
  • 同様の手法はWhatsAppなど番号ベース認証のメッセージングにも転用可能と報じられています。

出典(報道):

インサイト:暗号化は強い、本人性は揺らぐ——“認証の摩擦”をどう設計するか

  • E2EEは通信路を守る盾ですが、アカウントの“名義”を守るのは運用(登録・MFA・デバイスリンク)の領域です。攻撃はこの“本人性の境界”を狙います。サーバやプロトコルを攻めるより、ユーザーにPINやコードを喋らせるほうが速く静かに成功します。
  • 番号ベースの本人性は、社会工学と音声/SMS経路の弱点(SIMスワップ、転送、人的ミス)を抱えがちです。Registration LockやOOB確認を“運用の標準装備”にして初めて、E2EEの堅牢性が組織の防御力に変換されます。
  • 組織内での「安全番号(Safety Number)」の定期確認や、意図しない“安全番号変更”通知のエスカレーションが文化として根付いていないと、乗っ取り後のなりすましに気づきにくいです。真価は“検出までの時間を縮める運用”にあります。
  • いま得られるシグナルからは、信頼度の高い警告で、かつ進行中の作戦である可能性が濃厚です。反面、特定のグループ名や侵害規模の断定は避け、当座は“チャネル横断のなりすまし拡散”を前提に防御を引き上げるのが合理的です。

脅威シナリオと影響

以下は、報じられた手口に基づく仮説シナリオとMITRE ATT&CKの対応づけです。具体的なIOCやグループ特定は現時点では控え、運用設計に資する一般化を優先します。

  • シナリオA:確認コード搾取による再登録

    • 前段準備(仮説)
      • Resource Development: サポート風アカウントやアイコンの用意(T1585)
      • Reconnaissance: 公開情報から要人の連絡先/側近の特定(T1591/T1593)
    • 初期侵入
      • Phishing: サービス経由のスピアフィッシングでコード/PINを要求(T1566.003)
      • 2FA/MFAインターセプト: ユーザーにSMS/音声コードやRegistration Lock PINを送らせる(T1111)
    • 実行・権限確立
      • Valid Accounts: 正規手順で当該番号を新デバイスに登録(T1078)
    • 収集・影響
      • Collection: 以後の新規メッセージ・連絡先との会話を取得(T1056系の入力捕捉ではなく、正規クライアントでの閲覧という形)
      • Impersonation: 本人になりすまし、周辺関係者へ拡散(Impact/Exfiltration文脈)

  • シナリオB:QRコード悪用で“攻撃者デバイス”をリンク(仮説)

    • 初期侵入
      • Phishing(T1566.003)で「検証のためQRコードをスキャンしてください」と誘導
    • 権限確立
      • Valid Accounts(T1078)に相当する、正規のリンク機能を用いたセッション追加
    • 収集・横展開
      • 新規メッセージのミラー受信、グループ内での信用連鎖を足掛かりに更なるフィッシング(Lateral Movement的拡張)

  • シナリオC:通信基盤を足場に他資産へ(仮説)

    • Signal上のなりすましを用い、O365やIDaaSのMFA同意を促す、支払い指示の改竄、取材情報の先回りなど。対人信頼の乗っ取りが中核で、金銭・機密・政策影響に波及します。

影響評価の視点:

  • 即時性が高く、静かな奪取が成立すると長期の“見えない傍受”と“なりすまし主導権”が発生します。過去履歴よりも、交渉・政策・取材といった現在進行の意思決定が危険域に入る点が本件の本質です。
  • 政治・外交分野では、偽の合意・誤報・関係悪化を誘発しやすく、技術的被害よりも“意思決定の攪乱”が主被害になりやすいです。

セキュリティ担当者のアクション

“E2EEは強い、本人性は運用で守る”という原則に立ち、今週中にできる即応と、四半期スパンでの設計変更に分けて進めると効果的です。

  • 今すぐ(0–7日)

    • 組織告知(全社+VIP個別):
      • 「サポートや“セキュリティボット”を名乗るDMに応じない」「確認コード・Registration PINは誰にも共有しない」「QRコードをスキャンする依頼は拒否」の3原則を即時周知します。
    • Registration Lockの全社必須化:
      • SignalのRegistration Lock(PIN)を必須にし、PINの保管に企業標準のパスワードマネージャを用いる運用を定義します。
    • リンク済みデバイスの監査手順:
      • 各自が「リンク済みデバイス一覧」を点検し、不審な端末を即削除する定例(例えば毎週月曜)を設定します。
    • OOB(Out-of-Band)確認の定着:
      • 「安全番号が変わった」「突然メッセージの文体が違う」などの兆候があれば、必ず別経路(電話/対面/社内UC)で当人確認を行う手順をプレイブック化します。
    • キャリア保護:
      • VIP回線のポートアウト凍結・アカウントPIN設定(SIMスワップ対策)を通信事業者に申請します。

  • 短期(30日)

    • VIPコミュニケーション運用の再設計:
      • 機微連絡のチャネル分離(業務決裁は社内UC、対外はSignal等でもOOBダブルチェック必須)、緊急時の連絡網・合言葉の更新ルールを明文化します。
    • フィッシング演習の範囲拡張:
      • メールだけでなく、メッセージングアプリ/SNS上の“対話型フィッシング”を題材にした演習を設計します。
    • “安全番号”文化の育成:
      • 重要コンタクトとは初回接点時と四半期ごとに安全番号の相互確認を実施し、変更通知時は自動エスカレーションするガイドを配布します。

  • 中期(90日)

    • 監査と検知の工夫:
      • ネットワーク監視が効きにくい領域ゆえ、エンドポイント視点での手掛かり(Signal Desktop新規リンク時のアプリケーションログ、プロセス生成パターンなど)を社内で研究し、EDRの検知候補に加えます。
    • 役割分離とリスク低減:
      • 対外広報・渉外・調達など、なりすましの影響が大きい役割については、専用回線・専用端末化や、公開連絡先の露出削減を検討します。
    • 連絡先検証の自動化補助:
      • 連絡先の登録・変更時にOOB確認を促す社内Botや、セキュリティチームへの簡易通報ボタンを導入します。

  • インシデント対応プレイブック(抜粋)

    • 兆候検知(不審DM/安全番号変更)→OOB確認→アカウント一時停止(キャリア連絡含む)→全グループへの周知となりすまし対策→被害範囲の人脈グラフ洗い出し→取引・決裁の再確認、の順で標準化します。

最後に、今回の警告は信頼度が高く、進行中の作戦を示唆するものです。技術的に新奇なゼロデイではなく、日々の意思決定に入り込む“静かな侵入”であるがゆえ、運用の微差が大差になります。暗号化の堅牢さを、現場の慣行で台無しにしない——この一点に尽きます。今日からの数週間が勝負どころです。

参考情報:

背景情報

  • i Signalはプライバシーを重視したメッセージングアプリであり、ユーザーの通信を保護するための高度な暗号化技術を使用しています。しかし、攻撃者はこのアプリの正当な機能を利用して、ユーザーのアカウントに不正アクセスを試みています。特に、PINやQRコードを用いた二段階認証のプロセスを悪用することで、被害者の情報を盗む手法が取られています。
  • i 過去には、ロシアに関連する脅威グループが同様の手法を用いており、特にStar BlizzardやUNC5792などが知られています。これらのグループは、国家の利益に基づいたサイバー攻撃を行っており、特定のターゲットに対して高度なフィッシング攻撃を展開しています。
Packet News 一覧へ戻る