Signal大規模乗っ取り発生、ロシア諜報機関の新手口とはFBI/CISAが警告、数千アカウントが標的に──企業が今すぐ取るべき対策

暗号化メッセージアプリが狙われた──FBI/CISAが緊急警告

ロシア諜報機関に関連する脅威アクターが、SignalやWhatsAppなど暗号化メッセージングアプリのアカウントを世界規模で乗っ取っていることが判明しました。FBI（米連邦捜査局）とCISA（米サイバーセキュリティ・インフラセキュリティ庁）が2026年3月21日に共同警告を発表し、数千件のアカウントが不正アクセスを受けたと報告しています。「端末間暗号化があるから安全」という認識は、もはや通用しません。

The Hacker Newsの報道によると、標的となったのは「高い情報価値を持つ個人」です。具体的には、現職・元職の米国政府高官、軍人、政治家、そしてジャーナリストが含まれています。FBI長官は「攻撃者はアクセス取得後、メッセージと連絡先リストを閲覧し、被害者になりすましてメッセージを送信できる」と述べ、信頼されたアカウントからの追加フィッシングが可能になる危険性を指摘しました。

なぜ暗号化が「無力化」されたのか

今回の攻撃で注目すべきは、SignalやWhatsAppの端末間暗号化そのものが破られたわけではない点です。攻撃者は暗号化技術を直接突破するのではなく、「アカウント乗っ取り」という手法で暗号化を迂回しました。つまり、正規のユーザーとしてログインしてしまえば、暗号化されたメッセージも当然読めるという単純な原理を悪用したのです。

具体的な手口としては、フィッシングキャンペーンが使われました。巧妙に作成された偽のログインページや、信頼できる組織を装ったメッセージにより、ユーザーの認証情報を窃取します。さらに「リンクされたデバイス」機能を悪用し、攻撃者のデバイスを被害者のアカウントに紐付けるケースも報告されています。一度アカウントにアクセスされると、過去のメッセージ履歴、連絡先リスト、そして進行中の会話すべてが攻撃者に筒抜けになります。

この攻撃が特に危険な理由は、「信頼されたIDからのフィッシング」が可能になる点です。たとえば、乗っ取られた上司のアカウントから部下に指示が送られた場合、受信者は疑うことなく対応してしまうでしょう。これは従来のフィッシング攻撃よりも検出が極めて困難であり、組織内の信頼関係そのものが武器化されてしまいます。

御社が今すぐ確認・実施すべき5つの対策

今回の事案は政府高官や軍人が標的でしたが、企業も決して他人事ではありません。国家レベルの攻撃手法は、やがて一般的なサイバー犯罪にも転用されるのが常です。以下の対策を早急に確認・実施してください。

まず、SignalやWhatsAppの「リンクされたデバイス」設定を全従業員に確認させることが重要です。見覚えのないデバイスが紐付けられていれば、すでにアカウントが侵害されている可能性があります。不審なデバイスは即座に削除し、必要に応じてアカウントを再設定してください。

次に、暗号化メッセージングアプリに対するセキュリティ意識の啓発が必要です。「暗号化されているから安全」という誤解を解き、フィッシングリンクをクリックしない、不審なログイン要求に応じないといった基本動作を徹底させましょう。

また、組織内通信における本人確認プロトコルの強化も欠かせません。機密性の高い指示や依頼については、別の通信手段で本人確認を行うルールを設けることで、なりすまし被害を防止できます。

さらに、2要素認証（PIN等）の有効化を全社的に義務付けてください。SignalやWhatsAppには追加の認証機能が用意されており、これを有効にすることでアカウント乗っ取りのハードルを大幅に上げられます。

最後に、セキュリティ監視体制の見直しを検討してください。メッセージングアプリを含む通信全体を可視化し、異常な挙動を早期に検知できる仕組みが求められています。

まとめ

ロシア諜報機関によるSignal・WhatsAppアカウントの大規模乗っ取りは、端末間暗号化への過信が危険であることを示しました。暗号化技術そのものではなく、アカウント管理という「人」の脆弱性が突かれています。御社も今すぐリンクされたデバイスの確認、2要素認証の有効化、本人確認プロトコルの整備に着手してください。

セキュリティ体制の強化や監視基盤の構築でお悩みでしたら、180社以上の支援実績を持つGXOにご相談ください。SIEM/SOARの導入からSOC運用、インシデント対応まで、一気通貫でご支援いたします。

お問い合わせはこちら