Phone numbers of 1,900 Signal users exposed as a result of Twilio security breach
2022/08/16 SecurityAffairs — コミュニケーション企業である Twilio は、Signal に電話番号認証サービスを提供しているが、最近の同社に生じたセキュリティ侵害により、Signal の一部のユーザーにも影響をおよんでいた。Twilio を攻撃したハッカーは、Signal ユーザーの電話番号を確認し、別のデバイスへの再登録するような、試みを実行した可能性があるという。
Signal が発表したアドバイザリには、「この攻撃者は、約1,900人のユーザーに関して、彼らの番号が Signal に登録されていることを知り、それを別のデバイスに再登録しようと試みた可能性がある。この攻撃は、その後に、Twilio によりシャットダウンされている。それらの 1,900人のユーザーは、Signal 全ユーザーのごく一部であり、ほとんどのユーザーは影響を受けなかった」と記されている。
Signal は、すべてのユーザーの安全は、メッセージ履歴/連絡先リスト/プロフィール情報/ブロックした相手などの個人データの面で確保されており、影響を受けていないと述べている。なお、今回のセキュリティ侵害では、Signal の暗証番号は流出していないという。
同社は、影響を受けた 1,900人のユーザーに対して通知し、各自の端末に Signal を再登録するよう促している。Signal からサポート記事へのリンクを含む、SMS メッセージを受け取ったユーザーは、以下の手順で対応する必要がある。
アカウントを保護するために、アプリの設定で登録ロックを有効にすることが強く推奨されている。この機能は、Twilio の攻撃のような脅威から、ユーザーを保護するために作成された。
攻撃者は、フィッシングにより Twilio のカスタマーサポート・コンソールにアクセスした。この、約1,900人のユーザーについては、1)Signal のアカウントに登録されている電話番号、または、2)Signal への登録に使用された SMS 認証コードが、明らかになってしまたっという。
専門家たちは、攻撃者があきらかに3つの番号を検索しており、そのうちの1人のユーザーからは、アカウントが再登録されたとの報告をあったと、Signal は付け加えている。
Signal は、「それぞれのユーザーが、自身の Signal アカウントに対して、登録ロックを有効にすることを推奨する。Signal の PIN で、オプションの登録ロックを使用すると、登録プロセスに追加の検証レイヤーが追加される。Signal Settings (profile) > Account > Registration Lock で完了すると解説されている。
Signal というと、① 補助金や寄付金で支えられている、② End-to−End の暗号化がデフォルトで ON、③ 自己破壊とメッセージ消滅機能がある、④ ユーザー・データの収集が最小限ということで、他と比較すると安全だと思われていますが、Twilio から電話番号が漏れてしまったようです。8月8日の「Twilio にデータ侵害が発生:従業員に対する SMS フィッシングが攻撃の侵入経路」も、あわせて ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.