Signalデバイスリンキング攻撃の実態 ── 国家アクターが狙う暗号化メッセンジャーの盲点

2025年2月、Google Threat Intelligenceは、ロシア関連の複数の脅威アクターがSignalの「リンクされたデバイス」機能を悪用し、暗号化された会話をリアルタイムで傍受していると警告した。この攻撃は暗号化そのものを破るのではなく、正規機能を巧みに利用する点で特に危険である。本稿では、この攻撃の仕組みと防御策を解説する。

リンクされたデバイス機能の悪用

Signalは複数のデバイスで同時に使用できる「リンクされたデバイス」機能を提供している。追加デバイスのリンクには通常QRコードのスキャンが必要であり、この仕組みを攻撃者は悪用している。

脅威アクターは悪意のあるQRコードを作成し、被害者がスキャンすると、被害者のアカウントが攻撃者制御のSignalインスタンスにリンクされる。成功すると、将来のメッセージは被害者と脅威アクターの両方にリアルタイムで同期配信され、完全なデバイス侵害なしに被害者の安全な会話を傍受する持続的な手段を提供する。

この攻撃の巧妙な点は、エンドツーエンド暗号化を技術的に破っていないことである。被害者のデバイスから見れば、正規のリンクされたデバイスとして機能しているため、検出が困難である。

フィッシング戦術とソーシャルエンジニアリング

悪意のあるQRコードは、グループ招待、セキュリティアラート、またはSignalウェブサイトからの正規のデバイスペアリング手順を装っている。ウクライナ軍が使用する専門アプリケーションを装ったフィッシングページに埋め込まれているケースも報告されている。

2026年2月には、ドイツのセキュリティ当局が、国家支援のハッキンググループがドイツとヨーロッパ全域の上級政治家、軍関係者、外交官、調査報道記者をSignal経由でフィッシングしようとしていると警告した。攻撃者はメッセージングアプリ内で直接ターゲットにアプローチし、アカウントへのアクセスを渡すよう誘導している。

NSAは2025年2月に従業員に対し、Signalの使用における脆弱性について警告する運用セキュリティ特別速報を送付した。Signalは2025年3月25日に、これはフィッシング詐欺に対する警告であり、暗号化や基盤技術の欠陥についてではないと明確にした。

ウクライナ軍を標的とした攻撃

ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、2025年10月から12月にかけて、PLUGGYAPEとして知られるマルウェアでウクライナ国防軍を標的としたサイバー攻撃の詳細を公開した。この攻撃は中程度の確信度でVoid Blizzardとして追跡されるロシアのハッキンググループに帰属されている。

このマルウェアはSignalとWhatsAppを利用してウクライナ国防軍を標的としており、暗号化メッセンジャーが軍事通信においても重要なインフラとなっていることを示している。国家アクターにとって、これらのプラットフォームへのアクセスは高い諜報価値を持つ。

Googleは、最近数ヶ月で複数の脅威アクターがSignalに対する作戦を強化していることは、安全なメッセージングアプリケーションへの脅威が増大していることの重要な警告であると指摘している。

Signalの対応と推奨される防御策

Signalは、このようなフィッシング攻撃からユーザーを保護するため、AndroidとiOS向けに強化された機能を含む新しいアップデートをリリースした。

ユーザーが取るべき対策として、まずリンクされたデバイスの定期的な確認が挙げられる。設定からリンクされたデバイスのリストを確認し、身に覚えのないデバイスがあれば即座に削除する。

次に、QRコードの出所を厳密に確認する。グループ招待や公式通知を装ったQRコードであっても、信頼できるソースからであることを確認してからスキャンする。特に、別のチャネルから送られてきたQRコードには注意が必要である。

また、Signalアプリを常に最新版に保つことも重要である。セキュリティ強化機能は最新アップデートに含まれているため、自動更新を有効にすることが推奨される。

暗号化メッセンジャーのセキュリティモデルの限界

今回の攻撃は、エンドツーエンド暗号化の限界を示している。暗号化は通信経路上のデータを保護するが、エンドポイント自体が侵害されれば意味をなさない。リンクされたデバイス機能の悪用は、暗号化を迂回する巧妙な方法である。

また、「Careless Whisper」と呼ばれる脆弱性も研究者によって発見されている。配信確認のタイミング分析に関するもので、RAID 2025 Best Paper Awardを受賞したが、2026年1月時点でCVE指定はされていない。

暗号化メッセンジャーは依然としてプライバシー保護の重要なツールであるが、万能ではない。技術的保護に加え、フィッシング攻撃への警戒とデバイス管理の徹底が不可欠である。

FAQ

Signalの暗号化は破られたのですか？

いいえ。エンドツーエンド暗号化自体は破られていない。攻撃者は正規の「リンクされたデバイス」機能を悪用し、被害者のアカウントに自分のデバイスを追加することでメッセージにアクセスしている。

自分のアカウントが侵害されているか確認する方法は？

Signalの設定から「リンクされたデバイス」を開き、見覚えのないデバイスがないか確認する。不審なデバイスがあれば削除し、念のためPINを変更する。

他の暗号化メッセンジャーも同様の攻撃を受けていますか？

WhatsAppも同様の攻撃の標的となっている。複数デバイス対応機能を持つ暗号化メッセンジャーは、同様のリスクに晒される可能性がある。

企業や組織はどのような対策を取るべきですか？

セキュリティ意識向上トレーニングでフィッシング攻撃への警戒を促す。また、機密通信には追加の認証レイヤーや専用の通信チャネルの使用を検討する。

参考文献

• Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger — Google Cloud Blog, 2025年2月
• Hackers Exploit Signal Linked Devices Feature to Hijack Accounts via Malicious QR Codes — The Hacker News, 2025年2月
• How Russian Hackers Are Exploiting Signal Linked Devices Feature for Real-Time Spying — SecurityWeek, 2025年
• State-backed phishing attacks targeting military officials and journalists on Signal — Help Net Security, 2026年2月
• Russian phishing campaigns exploit Signal device-linking feature — BleepingComputer, 2025年