E2E暗号は破られていない。狙われたのは“番号”と“手元の判断”——オランダ当局、ロシア政府系のSignal/WhatsApp乗っ取り作戦を警告

今日の深掘りポイント

• 攻撃は暗号を破るのではなく、登録用SMSコードと「リンクされたデバイス」など、認証・運用の“周辺”を突く設計どおりの悪用です。
• Signalでは“サポート”を名乗る偽メッセージ経由でSMS確認コードを詐取、WhatsAppでは「リンクされたデバイス」機能を足掛かりに静かな持続化が狙われます。
• 標的は政府関係者やジャーナリストなど、情報優位が作戦成否を左右する高価値アカウントです。
• 技術対策だけでは不十分で、ヘルプデスク偽装や“なりすましオペレーション”に耐える業務オペレーション整備が要です。
• 現場は「番号アイデンティティの防衛」「高リスク利用者プログラム」「モバイル運用のプレイブック化」を急ぐべき局面です。

はじめに

オランダの情報機関が、ロシア政府系ハッカーがSignalとWhatsApp利用者を狙う大規模キャンペーンを展開していると警告しています。報道によれば、攻撃はフィッシングとソーシャルエンジニアリングに依拠し、Signalでは“サポート”になりすましてSMS確認コードを要求する手口、WhatsAppでは「リンクされたデバイス」機能を悪用して過去のメッセージにアクセスし得る手口が確認されているとされます。標的は政府関係者やジャーナリストが中心で、エンドツーエンド（E2E）暗号そのものではなく、アカウント乗っ取りを通じて暗号の「外側」から機密流通を覗き見る狙いです。

• 参考: TechCrunchによる報道（オランダ情報機関の警告を引用）“Russian government hackers targeting Signal and WhatsApp users, Dutch spies warn”

本件は、いわば“暗号を壊すより、人を口説く”アプローチです。緊急度と確からしさが高い一方で、特別なゼロデイを要しないため防御のカギは運用にあります。CISO／SOCは、技術・人・業務手順を束ねた立体的防御に即座に転じるべきです。

深掘り詳細

公開情報から読み取れる事実

• オランダの情報機関は、ロシア政府系アクターによるSignal/WhatsApp利用者を狙った大規模作戦を警告。標的は政府関係者やジャーナリストが中心です。TechCrunch報道
• 手口はフィッシングとソーシャルエンジニアリングが主軸。
  • Signal: サポートチームを装い、「不審な活動」や「データ漏洩」を口実にSMSで届く確認コードの共有を促す。
  • WhatsApp: 「リンクされたデバイス」機能を悪用し、ユーザーに気づかれずに会話へアクセスする可能性が指摘されています（仕様や端末の状態によりアクセス範囲は変動し得ます）。
• E2E暗号自体の破綻ではなく、アカウント乗っ取り（再登録／追加デバイス紐付け）を経由して会話内容へ到達する迂回攻撃です。

編集部のインサイト（なぜ今、なぜこれが効くのか）

• 暗号の“内側”ではなく“外側”を攻める設計どおりの悪用
  • メッセージングの安全性は暗号強度だけで成立しません。番号による本人性、再登録フロー、マルチデバイス同期、ユーザーの判断がすべて最終的な「安全」を規定します。攻撃者はこのうち最も脆い“人と運用”を突きます。
• 「静かな持続化」が発生しやすい
  • WhatsAppのリンク機能は利便性のための正規機能です。これが“追加の目”としてしばらく潜むと、ユーザーが異常に気づきにくい構造になります。
  • Signalはローカル履歴保持の設計上、乗っ取りから再登録しても、ユーザー端末側で履歴は見え続けます。これが「一時的乗っ取りに気づかない」温床になり得ます（推測ですが、運用上の盲点として十分起こり得ます）。
• 標的志向ゆえ“1件の価値”が高い
  • 政治・軍事・外交・メディアの高価値対象では、1件のアカウント乗っ取りが意思決定のタイムラインや関係者マッピングの暴露に直結します。大規模でありつつも、個々のオペレーションは手作業を多く含む“職人芸”的で成功率が高いことが想定されます（仮説です）。

実務上の含意として、これは「モバイルE2EE＝安全」という思い込みを解く出来事です。CISOは「番号アイデンティティの保護」「なりすまし検知」「高リスク利用者の運用訓練」を、ネットワークや端末のハードニングと同列に扱うべき段階に来ています。

脅威シナリオと影響

以下は公開情報に基づく仮説シナリオであり、MITRE ATT&CKのタクティクスに沿って整理します（技術IDは便宜上省略します）。

• 共通プレップ（Reconnaissance/Resource Development）

  • 標的の電話番号・ハンドル・連絡網をOSINTや過去漏洩データから収集。
  • “Signal/WhatsAppサポート”を装うアカウントやドメインを用意（ドメインや表示名のタイポスカッティング、公式ロゴ流用など）。

• シナリオA：Signalサポートなりすまし→再登録乗っ取り

  • Initial Access（Phishing via Service/Impersonation）
    • 「不審なアクセス検知」「番号停止予告」を装い、アプリ内DMやSMSで接触。
  • Credential Access（Social Engineering of OTP/Verification Code）
    • 「確認のためコードを返信してください」と誘導、SMS確認コードを詐取。
  • Persistence（Valid Accounts／Account Manipulation）
    • 攻撃者端末で番号を再登録。被害端末はログアウト状態に落ちる。
  • Collection/Exfiltration（Exfiltration over Web Service）
    • 再登録期間中の新規メッセージ、グループ招待、連絡先メタデータを収集。
  • 影響
    • 当該期間の意思決定や取材ソースの暴露。グループ構成情報の収集による二次標的化。

• シナリオB：WhatsAppの「リンクされたデバイス」悪用→静かな持続化

  • Initial Access（Phishing via Service）
    • 「本人確認のためQRを読み取ってください」「サポートが一時アクセスします」等の偽手順を提示。
  • Persistence（Add/Abuse Additional Device）
    • 不審なリンクデバイスを追加。ユーザーは目立った挙動変化を感じにくい。
  • Collection（Chat Content/Metadata Collection）
    • デバイス間同期の範囲で会話・ファイル・連絡先を取得。履歴の取得範囲は仕様・接続状態に依存（事実関係は環境差がある点に留意が必要です）。
  • 影響
    • 継続的な盗聴・情報先取り・関係性グラフの構築。会話内容に基づくさらなるソーシャルエンジニアリング。

• シナリオC：選挙・外交イベント直前の情報優位化（キャンペーン型）

  • Initial Access〜Persistenceを短期間で多数並列に実施。成功アカウントから“近接者”を芋づる式に標的化。
  • 影響
    • 非公開の合意文案・質疑想定・会見準備資料の先読み。ネガティブリークや交渉カードの無力化。

検知のヒント（仮説）

• Signal/WhatsApp双方で「コードの送付を求める“サポート”連絡」は原則偽です。ユーザー教育の中核に据えるべきです。
• WhatsAppは「リンクされたデバイス」一覧に未知の端末がないかを人手で点検する運用を高リスク利用者に義務化します。
• 社内ブランド監視で「Signal/WhatsAppサポート」を名乗る偽アカウントや似ドメインを収集・ブロックリスト化します。

セキュリティ担当者のアクション

“暗号の外側”を守るには、技術・人・業務の三位一体が必要です。優先度順に整理します。

• 高リスク利用者プログラム（政府、経営層、広報、記者・特派員）

  • 「コードは絶対に共有しない」「サポートはコードを求めない」を明文化し、年2回以上の短時間ドリルを実施します。
  • 連絡先の“番号公開最小化”と別系統の緊急連絡チャネル（内線/セキュアVoIP）の配備を進めます。
  • 海外渡航・選挙・大型発表の直前直後は“黄色信号”期間として、モバイル運用の追加制約（新規デバイス追加の凍結、アプリ再登録の承認制）を導入します。

• アカウント強化（プロダクト別）

  • Signal
    • Registration Lock（PIN）を必須化し、PINリマインダを有効化します。
    • 安全番号（Safety Number）の検証を対重要相手で儀式化し、番号変化時は即時別経路で相互確認します。
  • WhatsApp
    • 「二段階認証（6桁PIN）」を必須化します。
    • 「リンクされたデバイス」点検を週次運用に組み込み、未知端末は即時解除。高リスク期間はデバイス追加を凍結します。

• 通信事業者・端末レイヤ

  • 回線の番号ポートアウト／SIMスワップ防止ロックを通信事業者に申請します（社給端末は一括実施）。
  • 端末ロック強化（生体＋PIN、15分以内の自動ロック、通知プレビュー制限）を標準化します。

• 組織的検知と対応

  • ブランドなりすまし監視（外部SNS・メッセージングサービス上の“サポート”詐称）を常時運用し、発見次第で通報・周知テンプレートを即発信します。
  • ヘルプデスク偽装の想定訓練（赤チームによる“サポートです”ロールプレイ）を四半期に1回実施します。
  • インシデント・プレイブックに「メッセージング乗っ取り」版を追加（手順例）
    • 端末とアカウントの隔離（機内モード、アプリ強制サインアウト／再登録）
    • WhatsAppのリンク端末全解除、Signalの再登録＋安全番号再検証
    • 関係者への一斉周知（“直近X日の会話は漏えい可能性”と代替連絡路の指示）
    • 重要グループの再作成と参加者再認証

• ガバナンスとアーキテクチャ

  • “業務で利用可能なメッセージング”のホワイトリスト制と、非公式アプリ（改造WhatsApp等）の禁止を徹底します。
  • 機微情報は“メッセージング完結”にしない。重要決定・ドラフト共有はDLPの効く系統（社内コラボ基盤）へ誘導する情報設計にします。

• 最後に（メトリクスからの総合判断）

  • 緊急度と確からしさが高く、かつ運用で差が出る類型です。新奇性は限定的でも「選挙・外交・紛争」の文脈では影響がきわめて大きく、数件の成功が国家級の意思決定に波及し得ます。したがって“横展開のしやすい教育・手順化”こそ最も費用対効果の高い投資です。今日から動ける項目（PIN必須化、デバイス追加の承認制、偽サポート周知テンプレ）は即時に着手すべきです。

参考情報

• TechCrunch: Russian government hackers targeting Signal and WhatsApp users, Dutch spies warn（2026-03-09）https://techcrunch.com/2026/03/09/russian-government-hackers-targeting-signal-and-whatsapp-users-dutch-spies-warn/