FBI(米連邦捜査局)とCISA(サイバーセキュリティ・インフラセキュリティ庁)が2026年6月26日、ロシア諜報機関に関連するフィッシングキャンペーンが新たな段階に進化したと警告した。標的となっているのはSignalユーザーで、エンド・ツー・エンド(E2E)暗号化を正面突破するのではなく、バックアップ回復キー(Backup Recovery Key)を騙し取ることで過去の会話履歴すべてを復元するという手口が確認されている。

「暗号化を破らなくていい」——攻撃者の発想転換

Signalは強固なE2E暗号化で知られ、通信経路を盗み見ても内容を解読できない。しかし攻撃者はその前提をひっくり返した。Signalには「セキュアバックアップ(Secure Backups)」という機能があり、会話データを暗号化してクラウドに保存できる。この暗号化を解くのがバックアップ回復キーだ。このキーさえ手に入れれば、攻撃者は自分のデバイスにバックアップを復元し、被害者の過去メッセージをすべて閲覧できる。

FBIは、攻撃者がSignalサポートチームになりすまして以下のようなフィッシングメッセージを送付していると報告している。

「イランや旧ソ連諸国のハッカーによるアカウント乗っ取り攻撃が急増しているため、Signalは利用規約を更新し、強制的な2段階認証を導入します。メッセージや添付ファイルを失わないよう、バックアップ設定を行ってください」 メッセージには「設定 → バックアップ → バックアップを有効化 → 回復キーを表示 → クリップボードにコピー → 次へ」という具体的な手順が添えられている。

2段階の心理的誘導

攻撃はワンステップで終わらない。

第1段階:上記のフィッシングメッセージで被害者にバックアップを設定させる。この時点では回復キーをコピーしただけで、まだ攻撃者には届いていない。

第2段階:少し間を置いて、再度Signalサポートを装ったメッセージを送る。「同期の問題でデータが永久に失われる危険があります。バックアップ設定を開き、回復キーを貼り付けて確認してください」と指示する。

この2段階構造が巧妙で、1通目で被害者を「バックアップを設定した状態」にした上で、2通目で「サポートへの確認作業」と思わせてキーを送信させる。一連の流れが「作業の続き」に見えるため、疑いを持ちにくい。

誰が狙われているか

FBIによれば、標的は一般ユーザーではなく「高い諜報的価値を持つ個人」に絞られている。

  • 現・元の米国および海外政府高官
  • 軍関係者
  • 政治家・政治関係者
  • ジャーナリスト
  • ウクライナに所在する重要人物

攻撃はロシア連邦保安庁(FSB)や関連組織によるもので、UNC5792およびUNC4221として追跡されている。2026年3月の初報から手口が進化した形だ。

実務への影響

一般の日本企業においてこのキャンペーンの直接被害を受ける可能性は低いが、手口の汎用性に注目すべきだ。「公式サポートを装い、正規の機能操作を誘導して秘密情報を引き出す」というパターンは、Signal以外のサービスにも応用できる。

IT管理者・エンジニアへの具体的な対策:

  • 回復キーは絶対に他者に渡さない:バックアップ回復キーはパスワードと同等の機密情報。Signalはサポート目的でこのキーを要求することは一切ない。これはSignalに限らず、どのサービスでも同じ原則
  • 「サポートからの連絡」には疑念を持つ:メッセージアプリ内に届く「公式サポート」を自動的に信頼しない。本物のサポート連絡はアプリ内メッセージとは別チャネルで行われることが多い
  • 組織内のSignal利用ポリシーを見直す:機密性の高い業務通信にSignalを使っている場合、バックアップ機能の有効化状況と回復キーの管理を棚卸しする
  • フィッシング訓練の題材に使う:2段階誘導という手口はメールフィッシングとは異なるパターン。社内訓練のシナリオとして採用する価値がある

筆者の見解

セキュリティ分野は「細かい人が多くて正直得意ではない」と常々思っているが、この手口には技術的な面白さと恐ろしさが同居していて、思わず引き込まれた。

暗号化という堅牢な壁を正面から崩すのではなく、「正規の機能を使わせる」という発想で迂回する。「鍵を渡してください」と言うのではなく、「鍵を確認する手順を実行してください」と誘導する。技術的な脆弱性ではなく、人間の認知の隙間を突いている。

ゼロトラストの考え方では「検証なき信頼はない(Never trust, always verify)」が原則だが、この攻撃はその逆——検証そのものを偽装する。「サポートが確認している」という文脈を作り出すことで、被害者は自ら鍵を開けてしまう。

より根本的なことを言えば、「バックアップ回復キーの漏洩 = 会話履歴の完全露出」という設計のリスクは、利便性とのトレードオフとして避けがたい。クラウドバックアップを有効にする以上、回復キーの管理責任はユーザー側に帰属する。この構造を理解した上で使うかどうかを選ぶのが、今の技術リテラシーとして求められている。

攻撃の高度化に伴い、「疑うことを習慣化する」という古典的な対策が改めて重要になっている。新しいツールや機能の話ではなく、メッセージを受け取ったときの判断力こそが最後の防壁だ。

出典: この記事は FBI: Russian hackers now target Signal backup recovery keys の内容をもとに、筆者の見解を加えて独自に執筆したものです。