概要
2022年の夏、Signalに電話番号認証サービスを提供しているTwilioは、 フィッシング攻撃を受けました。ここでは、ユーザーの皆様に必要な情報をお伝えします。
- メッセージ履歴、連絡先リスト、プロフィール情報、ブロックした相手、およびその他の個人データは非公開かつ安全に保たれており、すべてのユーザーの皆様は 影響を受けていません のでご安心ください。
- 約1,900人のユーザーの方においては、攻撃者が別のデバイスにその番号を再登録しようとしたり、または電話番号がSignalに登録されていることを知ったりした可能性があります。この攻撃は、その後Twilioによってシャットダウンされました。1,900人というユーザー数は、Signalの総ユーザー数のごく一部であり、これはほとんどのユーザーが影響を受けなかったことを意味しています。
これらの1,900名のユーザーの皆様には直接ご連絡し、デバイスにSignalを再登録していただくようご案内しました。このサポート記事へのリンクを含むSMSメッセージをSignalから受信した場合は、 以下の手順に従ってください。
- スマートフォンでSignalを開き、アプリからSignalアカウント登録の案内が表示されたら再度登録をしてください。
- アカウントを確実に保護するために、アプリの設定で登録ロックを有効にすることを強くお勧めします。Twilioへの攻撃のような脅威からユーザーの皆様を保護するために、この機能をご用意しました。
具体的に何が起こったのですか?
Signalに電話番号認証サービスを提供するTwilioから、 フィッシング攻撃を受けたとの報告がありました。この件に関して調査を行った結果、以下のようなことがあったと判明しました。
- 攻撃者は フィッシングによってTwilioのカスタマーサポートコンソールにアクセスしました。約1,900人のユーザーについて、1) 電話番号がSignalアカウントに登録されていることが流出した可能性がある、または 2) Signalへの登録に使用されたSMS認証コードが流出した可能性があることが判明しました。
- 攻撃者がTwilioのカスタマーサポートシステムにアクセスした時間内に、SMS認証コードを使用してアクセスした電話番号を別のデバイスへ登録することが可能でした。攻撃者は既にアクセスできなくなっており、Twilioはこの攻撃をシャットダウンしました。
- 1,900件の電話番号のうち、攻撃者が意図的に検索したのは3件で、そのうちの1件のユーザーからアカウントが再登録されたとの報告を受けています。
重要なことは、攻撃者がメッセージの履歴、プロフィール情報、連絡先リストにはアクセスできなかったということです。メッセージ履歴はデバイスにのみ保存され、Signalはそのコピーを保有しません。連絡先リスト、プロフィール情報、ブロックした相手の復旧には、今回の件ではアクセスされなかった (できなかった) Signal PINが必要です。しかし、攻撃者がアカウントを再登録した場合は、彼らはその電話番号からSignalメッセージを送受信することが可能でした。
当社は、影響を受けるユーザーを保護するために、以下のような措置をとりました。
- 影響を受ける可能性のある1,900人のユーザー全員に、現在使用している (または攻撃者が登録した) すべてのデバイスでSignalの登録を解除し、ご希望のデバイスに電話番号でSignalを再登録するようお願いしました。
- 影響を受ける可能性のある1,900人のユーザーの皆様全員に、SMSで直接メッセージを送信しました。
8月15日の時点で、すでにユーザーの皆様全員へのご案内と、電話番号によるSignalの再登録をお願いしており、8月16日までにこれを完了いたしました。
Twilioが受けた種類の通信攻撃の対象となった脆弱性については、Signalがこれらに対抗するために 登録ロック や SignalPIN などの機能を開発しています。ユーザーの皆様には、登録ロックを有効にすることを強くお勧めします。通信エコシステムに影響を与える問題を直接修正することはできませんが、Twilioや他のプロバイダーと協力して、ユーザーの皆様にとって重要なセキュリティを強化していきます。
この件による私への影響はありますか?
- Twilioから得た情報によると、1,900人のユーザーが影響を受けた可能性があります。これらのユーザーにはSMSでご連絡をしています。8月15日にユーザーの皆様への案内を開始し、8月16日までにこれを完了しました。これらのユーザーに送信したSMSメッセージは次のようなものです。「これはSignalメッセンジャーからのものです。Signalアカウントを保護するためにご連絡を差し上げています。Signalを開いて再度登録をしてください。詳細情報はこちらです。 https://signal.org/smshelp」
- Signalを開いたときにデバイスに登録されていないことを示すバナーが表示された場合は、影響を受けている可能性がありますが、長期間使用していないことなども登録されていない理由となりえます。
私の個人情報へのアクセスやハッキングの可能性は?
ありません。Signalは、お客様のデータを当社ではなくお客様の手元で保管されるよう開発しています。Signalは、メッセージ履歴、連絡先リスト、プロフィール情報、ブロックした相手、その他の個人情報にアクセスすることはできません。この情報は、TwilioやTwilioへの攻撃者が一時的に得られたアクセス権を経由しても、入手することは絶対に不可能なのです。しかし、今回のTwilioの攻撃が行われた時間帯に、攻撃者がアカウントを再登録できた場合、その電話番号からSignalでメッセージを送受信することは可能でした。
チャット相手への影響はありましたか?
影響を受ける人数が少ないことを考えると、その可能性は非常に低いと言えるでしょう。ただし、連絡先が影響を受けたかどうか心配な場合は、相手に連絡を取り、アカウントの再登録の依頼とこのインシデントに関する詳細な情報を示したSMS通知をSignalから受け取ったか問い合わせることができます。
何をするべきでしょうか?
ユーザーの皆様には、Signalアカウントの 登録ロックを有効にすることをお勧めします。Signal PIN を使ってオプションの登録ロックを設定すると、登録する際に、認証を行うプロセスが追加されます。これは、シグナル設定 (プロフィール) > アカウント > 登録ロック で行います。
再発防止に向けたSignalの取り組みについて
当社はTwilioと連絡を取り、同社および他のプロバイダーと積極的に連携して、セキュリティ対策の向上に努めています。ユーザーの皆様には、 登録ロックを有効にすることをお勧めします。