SignalとWhatsAppで乗っ取り被害、FBIも警告。暗号化より先に『認証コード』が狙われている

SignalとWhatsAppを狙う攻撃が公的機関から警告された

2026年3月、オランダの情報機関 AIVD と MIVD は、ロシア国家系ハッカーが Signal と WhatsApp のアカウントを狙う大規模な世界的サイバーキャンペーンを行っていると公表しました。

対象として挙げられたのは政府関係者、軍関係者、公務員などですが、オランダ政府職員が実際に対象・被害に含まれることも確認されたとされています。さらに Reuters は、FBI と CISA が同様の手口により数千件のアカウント侵害が起きたと警告したと報じています。

今回のポイントは『暗号化が破られた』わけではないこと

この件で重要なのは、Signal や WhatsApp の暗号化そのものが破られたわけではないという点です。警告されているのは、利用者に認証コードやPINを渡させて、正規の利用者としてアカウントに入る手口です。

AIVD / MIVD は、攻撃者が Signal Support を装うチャットボットになりすまし、認証用のコードやPINを送らせる手法を最も多く確認していると説明しています。

• サポートを装ったメッセージを送る
• 認証コードの共有を求める
• PIN入力を促す
• その情報で別端末を紐付ける、またはアカウントを奪う

なぜ一度の乗っ取りで被害が広がるのか

メッセージアプリのアカウントが乗っ取られると、単に自分の会話が読まれるだけで終わらないことがあります。連絡先、グループ、過去の会話、相手との信頼関係まで一気に悪用の対象になります。

• 自分になりすましたメッセージを送られる
• グループ内の情報を読まれる
• 連絡先を足がかりに次の標的へ広げられる
• 他サービスの確認コードや復旧導線が盗み見られる

『安全なアプリを使っているか』だけでは足りず、『そのアカウントの入口を守れているか』まで見ないと防げない、というのが今回の事件の本質です。

これは一部の政府関係者だけの話で終わらない

公的機関の警告では、主な標的は政府関係者や記者などの高価値対象でした。ただし、今回使われた手口は高度なゼロデイ攻撃ではなく、認証コードやPINをだまし取るソーシャルエンジニアリングです。

つまり、標的の優先順位は違っても、構図そのものは多くの利用者に応用できます。相手が本物に見える、急がせる、確認コードを聞いてくる。この流れは個人向けのフィッシングでもそのまま使われます。

今すぐ確認したいサイン

次のような違和感がある場合は、一度アカウントの状態を見直した方が安全です。

• 知らない端末やセッションが紐付いている
• 身に覚えのない認証コードが届いた
• 連絡先から『変なメッセージが来た』と言われた
• メールやSMSで復旧関連の通知が増えた
• 同じメールアドレスやパスワードを複数サービスで使っている

この事件を自分ごとに変えるなら、まず『入口情報』から確認する

今回の件が示しているのは、攻撃者は暗号化そのものを破る前に、もっと現実的な入口を狙うということです。認証コード、PIN、復旧導線、そして多くのサービスで共通して使われるメールアドレスはその代表です。

そのため、まず確認しておきたいのは、自分のメールアドレスが過去の漏えい情報に含まれていないかどうかです。すでにどこかで公開状態になっていれば、別サービスへの攻撃の足がかりとして使われる可能性があります。

情報源

• AIVD / MIVD『Russia targets Signal and WhatsApp accounts in cyber campaign』（2026-03-09）
• AIVD『Cybersecurity Advisory. Phishing via messaging apps Signal and WhatsApp』（2026-03-09）
• Reuters『Cyber actors linked to Russia are targeting users of commercial messaging apps, FBI says』（2026-03-20）