グーグルは、ロシアのハッカーが悪意のあるQRコードを利用してSignalを標的にした複数の事例を確認した。Signalには、QRコードを使ってユーザーアカウントを複数のデバイスにリンクさせる機能があるが、この攻撃では、偽のQRコードを用いてアカウントをハッカーが管理するデバイスにリンクさせる手法が使われている。
「この攻撃が成功すれば、将来のメッセージは被害者と攻撃者の両方にリアルタイムで同期的に配信されることになり、デバイス全体を侵害することなく、会話を盗聴する持続的な手段を提供することになる」と、グーグルの脅威インテリジェンスグループの主任アナリストであるダン・ブラックは、2月19日に公開したレポートで述べている。
グーグルによると、あるケースではウクライナ軍のサイトを装った偽サイトに、Signalのグループへの参加を促す案内が表示され、QRコードをスキャンすると、ユーザーのSignalのアカウントがロシア側のオペレーターにリンクされる仕組みになっていた。
ブラックは、これらの攻撃がロシア政府の支援を受けるサイバースパイ集団Sandworm(サンドワーム)によるものと考えている。このグループは、2015年と2016年にウクライナのエネルギーインフラを攻撃したことで知られている。また、同グループの工作員は、ウクライナの戦場でロシア軍と協力し、戦場で押収した携帯電話のSignalのアカウントに侵入したことが確認されている。
ブラックは、軍事関係者にとって安全なメッセージングアプリは極めて重要な通信手段となるが、それが逆にリスクにもなり得ると語った。「これらのデバイスは極めて重要な機能を提供するが、侵害されればさまざまな機密情報を盗み取る手段となり、深刻な影響を及ぼす可能性がある」と彼は述べている。
