　Twilioが7日に発表した攻撃で、Signalの約1900人のユーザーの電話番号がSignalアカウントに登録されているという情報と、それらの電話暗号の登録に使われたSMS確認コードが攻撃者に奪われた。攻撃者は約1900件の電話番号中3つの番号でアカウントの再登録を試み、1つの番号で再登録した。

　Signalのメッセージはクラウドではなくユーザーの端末に保存され、連絡先リストとプロフィールはセキュリティPINで保護されているため、それらが攻撃者の手に渡ることはない。

　だが、アカウントを再登録されてしまうと、その電話番号からメッセージを送受信できてしまう。

　Signalは、影響を受けた約1900人に15日からSMSで、Signalの登録を一旦解除し、再登録するよう通知している。16日までに通知を受けない場合は、影響を受けていないと考えていい。

　Signalはユーザーに対し、こうした危険から身を守るために、Signal PINのオプション「登録ロック」を有効にするよう勧めている。これは、電話番号をSignalに登録する際にSignal PINが要求されるようになるというものだ。攻撃者が電話番号とSMS確認コードを使って新たな端末にアカウントを登録しようとしても、Signal PINが分からなければ登録できない。

登録ロック

　2014年創設のSignal Messengerのサービス利用者は、米TechCrunchによると2021年の時点で約4000万人だった。

Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避　ハードキーが鍵
CDN大手のCloudflareは、大規模なフィッシング攻撃を受けたが、侵入を防いだと発表した。Twilioが報告したものと同じ攻撃とみられる。攻撃を受けた従業員の中で3人がだまされたが、ログインにハードキーによる認証を義務付けていたため侵入を回避できた。
クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい
日本の企業も採用するAPIサービスのTwilioが、一部の顧客アカウント情報への不正アクセスがあったと発表した。従業員へのフィッシング攻撃が原因。攻撃者はまだ特定できていないが、「高度に洗練された組織」とみている。
E2EEメッセージングアプリSignal、暗号通貨による送金機能のβテストを開始
エンドツーエンド暗号化メッセージングアプリ「Signal」が、暗号通貨による送金機能のβテストを開始した。扱うのはMobileCoinの通貨。SignalはFacebookのザッカーバーグCEOもユーザーであると報じられ、注目を集めた。
プライベートメッセージングアプリ「Signal」に自動顔マスク機能追加
エンドツーエンド暗号化のプライベートメッセージングアプリ「Signal」に、撮影した写真内の顔に自動でマスクをかぶせる機能が付いた。顔検出プロセスは端末側で行う。