社員が業務連絡に使っている Signal や WhatsApp が、ロシアの脅威アクターに乗っ取られるリスクがある。 2025年2月、FBI(米連邦捜査局)と CISA(サイバーセキュリティ・インフラセキュリティ庁)は共同で、ロシア国家支援型グループによる Signal・WhatsApp アカウント乗っ取り攻撃への警告を発出した。攻撃手法は巧妙化しており、日本企業も他人事ではない。
本記事では、攻撃の仕組みと企業への影響を解説し、今日から実行できる5つの対策とメッセージングアプリのセキュリティポリシーテンプレートを提供する。
FBI・CISA 共同警告の概要
FBI と CISA が警告した脅威の中心にいるのは、APT44(Sandworm) および UNC1151(Ghostwriter) などのロシア国家支援型ハッキンググループだ。これらのグループは、ウクライナの政府関係者・軍関係者・ジャーナリストを主要標的としていたが、攻撃手法が汎用化され、民間企業や一般ユーザーにも被害が拡大している。
警告の要点
| 項目 | 内容 |
|---|---|
| 発出日 | 2025年2月(更新版:2025年4月) |
| 発出機関 | FBI、CISA(共同アドバイザリ) |
| 対象アプリ | Signal、WhatsApp、Telegram |
| 主な攻撃者 | APT44(Sandworm)、UNC1151、Star Blizzard |
| 攻撃手法 | QRコードフィッシング、デバイスリンク悪用、偽グループ招待 |
| 影響範囲 | アカウントの完全な乗っ取り、メッセージ履歴の窃取、リアルタイム盗聴 |
攻撃の仕組み──3つの手口を詳解
手口1:QRコードフィッシング(最も多い手法)
Signal や WhatsApp には「リンクされたデバイス」機能がある。PC やタブレットからメッセージを送受信するために、スマートフォンで QR コードを読み取ってデバイスを紐付ける仕組みだ。攻撃者はこの機能を悪用する。
攻撃の流れ:
- 攻撃者が偽の QR コードを生成する(攻撃者のデバイスを紐付けるためのコード)
- フィッシングメール、偽のセキュリティ警告ページ、または偽のグループ招待リンクに QR コードを埋め込む
- 被害者が QR コードを読み取ると、攻撃者のデバイスが被害者のアカウントにリンクされる
- 以降、被害者が送受信するすべてのメッセージが攻撃者にもリアルタイムで配信される
この攻撃の危険性は、エンドツーエンド暗号化を無効化せずに盗聴が成立する点にある。攻撃者のデバイスは正規のリンク済みデバイスとして認識されるため、暗号化されたメッセージがそのまま平文で表示される。
手口2:偽グループ招待による誘導
攻撃者は、標的が所属していそうなグループ(業界団体、プロジェクトチーム、社内連絡グループなど)を装った偽の招待リンクを送付する。リンクをクリックすると、正規の Signal/WhatsApp インターフェースを模倣したフィッシングページに遷移し、QR コードの読み取りやアカウント認証情報の入力を求められる。
手口3:マルウェアによるセッションデータの窃取
PC 版の Signal Desktop や WhatsApp Desktop のセッションデータベースファイルを直接窃取するマルウェアも確認されている。Signal Desktop の場合、暗号化キーとセッション情報がローカルに保存されているため、端末がマルウェアに感染すると過去のメッセージ履歴を含むすべてのデータが漏えいする。
なぜ企業にとって深刻なのか
「Signal は暗号化されているから安全」という認識は、もはや通用しない。以下の理由から、企業はメッセージングアプリのセキュリティを経営課題として捉える必要がある。
業務連絡における Signal・WhatsApp の浸透
日本企業でも、海外拠点との連絡、取引先とのやり取り、社内の非公式コミュニケーションに Signal や WhatsApp が使われている。IT 部門が把握していない「シャドーIT」としての利用も多い。
漏えい時のインパクト
メッセージングアプリには、以下のような機密性の高い情報が流れている。
- 契約交渉の内部方針や価格情報
- M&A や人事に関する未公開情報
- 取引先の個人情報や連絡先
- プロジェクトの技術的な詳細や設計情報
- 経営層の意思決定プロセス
これらが第三者に筒抜けになった場合、競争優位の喪失、法的責任、レピュテーションの毀損に直結する。
エンドツーエンド暗号化への過信
多くの企業が「暗号化アプリを使っているから安全」と考えているが、今回の攻撃はその前提を覆す。暗号化はあくまで通信経路上の保護であり、端末やアカウントが侵害されれば無意味だ。
企業が今すぐ取るべき5つの対策
以下の対策は、IT 部門のリソースが限られた中小企業でも実行可能な内容にまとめている。優先度の高い順に記載する。
対策1:リンク済みデバイスの一斉棚卸し(所要時間:1時間)
全社員に対して、Signal・WhatsApp の「リンクされたデバイス」画面を確認するよう通達を出す。
確認手順(Signal の場合):
- Signal アプリを開く
- 設定(プロフィールアイコン) → 「リンクされたデバイス」を選択
- 表示されているデバイスを確認する
- 自分が認識していないデバイスがあれば、即座にリンクを解除する
確認手順(WhatsApp の場合):
- WhatsApp を開く
- 設定 → 「リンク済みデバイス」を選択
- 一覧に不審なデバイスがないか確認する
- 不審なデバイスがあれば「ログアウト」をタップする
重要: この確認は一度で終わりではない。月次の定期確認として運用ルール化すべきだ。
対策2:QRコード読み取りに関する社内ルールの策定(所要時間:2時間)
今回の攻撃の起点は QR コードだ。以下のルールを全社に周知する。
- メールや Web ページ経由で届いた QR コードを Signal/WhatsApp で読み取らない
- デバイスリンクは IT 部門が指定した手順でのみ実施する
- 不審な QR コードを受け取った場合は、IT 部門またはセキュリティ担当に報告する
- グループ招待リンクは、送信者に別の手段(電話など)で真正性を確認してから開く
対策3:メッセージングアプリの利用実態調査(所要時間:1週間)
IT 部門が把握していないメッセージングアプリの業務利用(シャドーIT)を洗い出す。
- 全社員へのアンケート:業務で使用しているメッセージングアプリとその用途を回答
- 取引先・パートナー企業との連絡手段の棚卸し
- 社用端末の MDM(モバイルデバイス管理)ログからアプリインストール状況を確認
調査結果に基づき、許可するアプリと禁止するアプリの線引きを明確にする。
対策4:メッセージングセキュリティポリシーの制定(所要時間:2週間)
調査結果をもとに、正式なポリシーを策定する。以下にテンプレートの骨子を示す。
メッセージングアプリ・セキュリティポリシー(テンプレート)
1. 適用範囲 本ポリシーは、当社の役員および全従業員(派遣社員・業務委託先を含む)に適用する。
2. 許可されたメッセージングアプリ 業務上の連絡に使用可能なメッセージングアプリは以下のとおりとする。
- (自社が承認したアプリ名を記載:例 Microsoft Teams、Slack)
- 上記以外のアプリ(Signal、WhatsApp、Telegram 等)を業務連絡に使用する場合は、IT 部門の事前承認を要する
3. 禁止事項
- 未承認のメッセージングアプリでの機密情報(契約情報、個人情報、技術情報)の送受信
- 出所不明の QR コードを使用したデバイスリンク
- 不審なグループ招待リンクの承認
- 個人端末のメッセージングアプリへの業務アカウントのリンク(BYOD ポリシーで許可されている場合を除く)
4. 定期確認義務
- 毎月第1営業日に、リンク済みデバイスの確認を実施する
- 確認結果は所属部門の管理者に報告する
5. インシデント対応
- 不審なデバイスリンクやアカウント異常を発見した場合は、直ちに IT 部門に報告する
- IT 部門は報告を受けてから24時間以内に初動対応を完了する
対策5:フィッシング耐性訓練の実施(所要時間:継続的)
QR コードフィッシングは、従来のメールフィッシングとは異なる手口であるため、既存の訓練プログラムに追加する必要がある。
- QR コードフィッシングの事例を社内研修に組み込む
- 模擬フィッシング訓練に QR コードパターンを追加する
- 訓練結果を部門別に集計し、クリック率の高い部門には追加研修を実施する
関連記事:フィッシングメール訓練の実施ガイド
自社チェックリスト──今日から確認すべき10項目
以下のチェックリストを使って、自社のメッセージングセキュリティの現状を評価してほしい。
- [ ] 社員が業務で使用しているメッセージングアプリを把握している
- [ ] Signal・WhatsApp のリンク済みデバイスを定期的に確認する運用がある
- [ ] QR コード読み取りに関する社内ルールが存在する
- [ ] メッセージングアプリのセキュリティポリシーが文書化されている
- [ ] フィッシング訓練に QR コードパターンが含まれている
- [ ] 社用端末に MDM を導入し、アプリの利用状況を監視している
- [ ] 海外拠点・取引先との連絡手段を IT 部門が把握している
- [ ] インシデント発生時のエスカレーション手順が明確である
- [ ] Signal Desktop / WhatsApp Desktop の利用端末でエンドポイント保護が有効である
- [ ] 経営層がメッセージングセキュリティのリスクを認識している
3個以下しかチェックが付かない場合は、早急な対策が必要だ。
技術的な補足──Signal・WhatsApp のセキュリティ設定
Signal の推奨設定
| 設定項目 | 推奨値 | 理由 |
|---|---|---|
| 登録ロック(Registration Lock) | 有効 | PIN なしでのアカウント再登録を防止する |
| スクリーンロック | 有効 | 端末ロック解除なしでアプリを開けないようにする |
| メッセージの消失タイマー | 業務内容に応じて設定 | 侵害時の情報漏えい範囲を限定する |
| リンク プレビュー | 無効 | プレビュー生成時の外部通信を防止する |
| 通話リレー | 有効 | IP アドレスの漏えいを防止する |
WhatsApp の推奨設定
| 設定項目 | 推奨値 | 理由 |
|---|---|---|
| 二段階認証 | 有効 | アカウント乗っ取りへの追加防御層 |
| セキュリティ通知 | 有効 | 連絡先のセキュリティコード変更を検知する |
| 指紋ロック | 有効 | 端末を手にした第三者の不正アクセスを防止する |
| バックアップの暗号化 | 有効 | Google Drive / iCloud 上のバックアップを保護する |
関連する脅威と参考情報
今回の Signal・WhatsApp 乗っ取り攻撃は、より広範なサイバーセキュリティ脅威の一部だ。以下の記事も合わせて確認してほしい。
- サプライチェーンセキュリティ対策ガイド -- サプライチェーン全体でのセキュリティ強化策
- ゼロトラスト・セキュリティ導入ガイド -- 「信頼しない」前提のセキュリティモデル
- EDR・エンドポイント保護の比較ガイド -- PC 版メッセージングアプリを守るエンドポイント対策
- セキュリティインシデント報告の統一チェックリスト -- インシデント発生時の対応手順
- SASE/SSE によるリモートワークセキュリティ -- リモート環境でのメッセージング保護
- Android 端末のサプライチェーン攻撃(Keenadu バックドア) -- モバイル端末のセキュリティリスク
よくある質問(FAQ)
Q. Signal はエンドツーエンド暗号化されているのに、なぜ乗っ取られるのですか?
暗号化は通信経路上の盗聴を防ぐ仕組みであり、アカウント自体の保護とは別の問題だ。今回の攻撃では、攻撃者が自分のデバイスを被害者のアカウントに正規のリンク済みデバイスとして登録する。リンクされたデバイスには暗号化済みメッセージが正当に配信されるため、暗号化の仕組み自体は破られていない。「鍵を複製された」と考えるとわかりやすい。
Q. 日本企業も攻撃対象になるのですか?
なる。当初の標的はウクライナ関連の人物だったが、攻撃手法がすでに公開・汎用化されており、ロシア以外の攻撃グループも同様の手口を模倣している。日本企業、特に防衛・エネルギー・重要インフラ関連の企業は標的となりうる。また、海外拠点を持つ企業は、現地スタッフが Signal や WhatsApp を日常的に使用している可能性が高い。
Q. LINE は安全ですか?
LINE も同種の攻撃リスクがゼロではない。LINE にもPC版へのログイン機能があり、QR コードを使った認証が存在する。ただし、LINE の場合は本人確認番号の入力が追加で求められるため、Signal の「デバイスリンク」に比べると攻撃の難易度は若干高い。とはいえ、ソーシャルエンジニアリングを組み合わせた攻撃は常に想定すべきだ。
Q. 中小企業でも対策は必要ですか?
必要だ。中小企業は「うちは標的にならない」と考えがちだが、サプライチェーン攻撃の踏み台として狙われるケースが増えている。大企業の取引先である中小企業のメッセージングアカウントを乗っ取り、そこから大企業の担当者に偽のメッセージを送る手口は現実に発生している。
まとめ──メッセージングセキュリティは「暗号化だけ」では守れない
FBI・CISA の共同警告が示す教訓は明確だ。エンドツーエンド暗号化は万能ではなく、アカウント管理とユーザー教育が不可欠である。
企業が取るべきアクションを改めて整理する。
- 即日対応:全社員のリンク済みデバイスを確認し、不審なデバイスを削除する
- 1週間以内:QR コード読み取りルールを策定し、全社に周知する
- 1か月以内:メッセージングアプリの利用実態を調査し、セキュリティポリシーを制定する
- 四半期ごと:フィッシング訓練を実施し、QR コードパターンを含める
- 継続的:リンク済みデバイスの月次確認を運用ルールとして定着させる
メッセージングアプリのセキュリティは、ツールの選定だけでなく、運用ルールと人の意識によって決まる。
メッセージングセキュリティ診断 -- 御社の通信環境は安全ですか?
GXO では、企業のメッセージングアプリ利用状況を可視化し、Signal・WhatsApp・LINE 等のセキュリティリスクを評価する「メッセージングセキュリティ診断」を提供しています。シャドーIT の洗い出し、セキュリティポリシーの策定支援、フィッシング耐性訓練の設計まで、包括的に対応します。