E2EEメッセージのSignal、Twilioへのフィッシング攻撃でユーザー約1900人に影響
E2EEメッセージングアプリ「Signal」がTwilioへのフィッシング攻撃の影響を受けたと発表した。Twilioの番号認証サービスを利用しているため。約1900人のユーザーの電話番号とSMS確認コードが攻撃者の手に渡ったが、全員に通知済みだ。
E2EE(エンドツーエンドの暗号化)メッセージングアプリ「Signal」を提供する米非営利団体Signal Messengerは8月15日(現地時間)、同社もその電話番号認証サービスを利用している米Twilioへのフィッシング攻撃で、約1900人のユーザーに影響があったと発表した。
Twilioが7日に発表した攻撃で、Signalの約1900人のユーザーの電話番号がSignalアカウントに登録されているという情報と、それらの電話暗号の登録に使われたSMS確認コードが攻撃者に奪われた。攻撃者は約1900件の電話番号中3つの番号でアカウントの再登録を試み、1つの番号で再登録した。
Signalのメッセージはクラウドではなくユーザーの端末に保存され、連絡先リストとプロフィールはセキュリティPINで保護されているため、それらが攻撃者の手に渡ることはない。
だが、アカウントを再登録されてしまうと、その電話番号からメッセージを送受信できてしまう。
Signalは、影響を受けた約1900人に15日からSMSで、Signalの登録を一旦解除し、再登録するよう通知している。16日までに通知を受けない場合は、影響を受けていないと考えていい。
Signalはユーザーに対し、こうした危険から身を守るために、Signal PINのオプション「登録ロック」を有効にするよう勧めている。これは、電話番号をSignalに登録する際にSignal PINが要求されるようになるというものだ。攻撃者が電話番号とSMS確認コードを使って新たな端末にアカウントを登録しようとしても、Signal PINが分からなければ登録できない。
2014年創設のSignal Messengerのサービス利用者は、米TechCrunchによると2021年の時点で約4000万人だった。
関連記事
- Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
CDN大手のCloudflareは、大規模なフィッシング攻撃を受けたが、侵入を防いだと発表した。Twilioが報告したものと同じ攻撃とみられる。攻撃を受けた従業員の中で3人がだまされたが、ログインにハードキーによる認証を義務付けていたため侵入を回避できた。 - クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい
日本の企業も採用するAPIサービスのTwilioが、一部の顧客アカウント情報への不正アクセスがあったと発表した。従業員へのフィッシング攻撃が原因。攻撃者はまだ特定できていないが、「高度に洗練された組織」とみている。 - E2EEメッセージングアプリSignal、暗号通貨による送金機能のβテストを開始
エンドツーエンド暗号化メッセージングアプリ「Signal」が、暗号通貨による送金機能のβテストを開始した。扱うのはMobileCoinの通貨。SignalはFacebookのザッカーバーグCEOもユーザーであると報じられ、注目を集めた。 - プライベートメッセージングアプリ「Signal」に自動顔マスク機能追加
エンドツーエンド暗号化のプライベートメッセージングアプリ「Signal」に、撮影した写真内の顔に自動でマスクをかぶせる機能が付いた。顔検出プロセスは端末側で行う。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.