Googleが運営する**GTIG(Google Threat Intelligence Group)**は2025年7月、ロシアに関連する複数のサイバー脅威グループが、安全性の高いとされるメッセージングアプリ「Signal」を標的にした攻撃を本格化させていると警告を発しました。
攻撃対象はSignalにとどまらず、「WhatsApp」や「Telegram」といった他の主要メッセージングサービスにも波及しており、グローバルな監視や諜報活動の一環として注目が集まっています。
🕵️ロシア系ハッカーが狙うのは「リンク済み端末」機能
GTIGの報告によると、ハッカーが狙っているのはSignalに搭載された「リンク済み端末(Linked Devices)」機能です。
この機能は、スマートフォンで使用中のSignalアカウントをPCなど他のデバイスと連携させるためのもの。QRコードを使って接続する仕様ですが、この手順を悪用することで、ユーザーのメッセージがリアルタイムで第三者に共有されてしまうという脅威が明らかになりました。
🧿 悪用パターンの例:
- 偽装されたQRコードをユーザーに読み取らせる
- ウクライナ軍アプリを装ったフィッシングページへの誘導
- グループ招待リンクを悪意あるURLにリダイレクト
- 正規のSignalインスタンスを偽装し、不正リンクを読み込ませる
中でも「UNC5792」と呼ばれるロシア政府関連のAPT(高度持続的脅威)グループが、Signalの機能を装って端末リンクを改ざんし、スパイ活動を行っていた事例が確認されています。
🛰️ベラルーシ拠点のハッカー集団も関与、攻撃は多層的に
ロシア政府との関係が指摘されているハッカーだけでなく、**ベラルーシのサイバー部隊「UNC1151」**もこの攻撃キャンペーンに関与していることがGoogleの調査で判明しています。
攻撃の手口は以下の通り:
- 📱 AndroidおよびWindows端末からSignalの内部データベースファイルを盗み出す
- 🖥️ フィッシングサイトを介して、偽装されたSignalインスタンスへ誘導
- 🔐 QRコードを利用した“なりすましリンク”で端末を接続させ、盗聴を可能に
これらの手法はいずれもSignalの高いセキュリティを逆手に取った、極めて巧妙かつ高度な社会工学的攻撃です。
🛡️Googleが推奨する“今すぐできる”セキュリティ対策
こうした攻撃に対抗するため、GTIGはすべてのユーザーに対して下記のセキュリティ対策を強く推奨しています。
✅ 基本のデバイス保護
- 画面ロックや複雑なパスワードを必ず設定
- OSやアプリを常に最新版に保つ
✅ Signalアカウントの確認
- アプリ内の「接続された端末」リストを定期的にチェック
- 見覚えのない端末がリンクされていたら即削除
✅ QRコード読み取り時の注意
- グループ招待や通知、更新メッセージに含まれるQRコードは慎重に扱う
- 「今すぐ読み取れ」などと促されるリンクには要注意
✅ 2要素認証(2FA)の導入
- 指紋認証・顔認証・セキュリティキー・ワンタイムパスワードなどを活用
- 新しい端末接続時には必ず本人確認が求められるように設定
✅ OSごとの追加対策
- Androidユーザーは Google Play プロテクト を有効化
- iOSユーザーは ロックダウンモード を活用
📱Signalの「安全神話」はもはや過信できない時代へ
これまでSignalは、プライバシー重視・エンドツーエンド暗号化・オープンソース設計によって、専門家や人権活動家、政治家などに支持されてきました。
電子フロンティア財団(EFF)なども「最も安全なメッセージングアプリ」としてSignalを評価してきましたが、今回の報告で明らかになったのは、その「安全性」を狙って高度な攻撃が企てられている現実です。
🔍まとめ:安全なはずのアプリにも“巧妙な落とし穴”がある
- Signalをはじめとする暗号化メッセージアプリが、国家レベルのスパイ活動の標的にされている
- ロシア・ベラルーシなどのAPTが、Signalの**「リンク済み端末」機能を悪用**
- QRコード経由で端末をハッカーにリンクされると、メッセージ内容が筒抜けに
- ユーザー側の基本的なセキュリティ対策と警戒意識が今後ますます重要に
