FBI と CISA は 6 月 26 日 (現地時間)、ロシア情報機関 (RIS) と関係する脅威アクター UNC5792・UNC4221 がメッセージング Signal を標的とするフィッシング手口を変化させたと公表しました。従来の認証コード窃取から「Backup Recovery Key」自体の入手へと目的を切り替え、過去メッセージや復元バックアップへの恒久的アクセスを狙うと BleepingComputer が報じています。
主なポイント
- PSA I-062626-PSA は 3 月発出の警告を更新し、Signal サポートを装う SMS / メッセージで Backup Recovery Key の開示を促す手口を観測したと記載
- Recovery Key を渡すと攻撃者は被害者のバックアップを別端末で復元でき、グループ含む全過去メッセージを読める。Signal アカウントを作り直しても同じ電話番号なら旧鍵が引き続き有効となる点が深刻
- 攻撃者は FSB 国境警備隊所属の FSB 系オフィサーや軍関係者を含む複数 RIS グループとされ、ウクライナ・欧米の政府関係者・軍・政治家・ジャーナリストが主標的
- 対策は Signal アプリの設定で新しい Backup Recovery Key を生成すること。これにより旧鍵が無効化されバックアップ復元に使えなくなる
- 暗号化そのものではなく「アカウント引き渡し」を狙う設計であり、E2EE は突破されていない
出典: FBI: Russian hackers now target Signal backup recovery keys (BleepingComputer)