Iamprovider

Zali SteggallのWhatsAppがロシアの攻撃でハッキングされた疑い

Zali SteggallのWhatsAppがロシアの攻撃でハッキングされた疑い

オーストラリア議員、世界的なフィッシングの波に巻き込まれる

無所属の連邦議員Zali Steggallは、ロシアの脅威アクターによって組織されたとみられる高度なフィッシング計画の一環として、3月に自身のWhatsAppアカウントがハッキングされたことを明らかにした。この攻撃は彼女の個人アカウントを標的にしたもので、世界中の政府関係者、軍関係者、ジャーナリストのメッセージアカウントを侵害したより広範な世界的キャンペーンの一部である。

Steggallは声明でこの侵害を確認し、ハッカーが欺瞞的な戦術を使ってアクセスを取得したと述べた。彼女の事務所はアクセスされた内容の詳細を明らかにしなかったが、この事件は広く使われているメッセージングプラットフォームが国家支援のサイバースパイ活動に対して脆弱であることを浮き彫りにしている。

フィッシングキャンペーンの仕組み

オランダとドイツの諜報機関からの警告によると、攻撃者はSignalとWhatsAppの両方で公式サポートアカウントを装う。被害者はプラットフォームのセキュリティチームからのように見えるメッセージを受け取り、不審な活動を警告し、確認コードの入力やQRコードのスキャンなどの即時対応を促される。

オランダ諜報機関(AIVD/MIVD)は、このキャンペーンを「高官、軍関係者、公務員」を標的にしたロシアの国家ハッカーによる大規模な世界的取り組みと説明した。攻撃者は「リンクされたデバイス」オプションなどの正当な機能を悪用し、ユーザーをだましてアカウントへのアクセスを許可させ、アプリの暗号化を破ることなく実行する。

SignalとWhatsAppの暗号化は無傷

両メッセージングサービスは、基礎となる暗号化が侵害されていないことを強調している。Signalは声明で「Signalの暗号化とインフラは侵害されておらず、堅牢なままです」と述べた。オランダ当局もこれに同調し、キャンペーンは「メッセージングサービスの技術的な脆弱性を悪用していない」と指摘した。

代わりに、攻撃は人為的ミス、つまりユーザーがだまされてセキュリティコードを渡すことに依存している。この方法は、Steggallのケースやドイツで約300のSignalアカウントが政治関係者に侵害されたと報告されているケースに見られるように、驚くほど効果的である。

ドイツと米国も同様の攻撃を確認

ドイツでは、連邦検察当局が、2人の政府大臣を含む高位政治家を標的にしたSignalアカウントへのサイバー攻撃に関する予備調査を開始した。ドイツ誌デア・シュピーゲルは、被害者が偽のSignalセキュリティチャットボットからPINの入力やQRコードのスキャンを指示するメッセージを受け取ったと報じた。

一方、米国の諜報機関は3月、ロシアのハッカーが米国政府関係者、軍関係者、ジャーナリストの数千のアカウントを侵害したと警告した。FBIの警告は、公式サポートアカウントを装って被害者を誘い込み、機密情報を共有させるキャンペーンを説明している。

誰がリスクにさらされ、どのように身を守るか

このキャンペーンは主に政府・軍関係者を標的にしているが、ジャーナリストやロシア政府にとって関心のある他の人物もリスクにさらされている。ハッカーの目標はグループチャットに潜入し、機密通信にアクセスすることである。

  • 確認コードを決して共有しない:正当なプラットフォームがチャットでPINやワンタイムコードを求めることは決してない。
  • 二要素認証を有効にする:標準的な確認に加えて追加のセキュリティ層を提供する。
  • 未承諾のサポートメッセージに注意:SignalやWhatsAppのサポートを名乗るメッセージを受け取った場合は、公式チャネルを通じて独立して確認する。
  • リンクされたデバイスを確認する:アカウントに接続されているデバイスを定期的に確認し、認識できないものは削除する。

高度だが予防可能な脅威

Steggallのハッキングは、著名人であってもソーシャルエンジニアリングに対して脆弱であることを痛感させる。WhatsAppやSignalのようなアプリの技術的防御は強力なままであるが、人間の要素が最も弱い部分である。国家支援の攻撃者がフィッシングの餌を洗練させるにつれて、認識と警戒が最善の対策となる。

オーストラリア、ヨーロッパ、米国に及ぶこのキャンペーンの世界的規模は、衰える兆しのない持続的な脅威を示している。当局者と一般ユーザーの両方にとって、メッセージは明確である:いかに公式に見えようとも、資格情報を求める未承諾の要求を信頼してはならない。