2024年のテレグラムアカウント乗っ取りキャンペーン以降、テレグラムのセキュリティ問題を騙ってユーザーのアカウント情報を窃取するスミッシング攻撃が最近再び確認された。攻撃者はフィッシングサイトでユーザーに自身の電話番号とログインコードを入力させ、テレグラムアカウントを乗っ取る。アカウントが乗っ取られた場合、個人情報や会話内容の流出はもちろん、二次被害につながる恐れもある。
今回確認されたテレグラムログインスミッシングは、フィッシングページの構成とアカウント乗っ取りの手口が2年前とほぼ同一のまま維持されている。
攻撃は主に、テレグラムのセキュリティ問題、アカウント保護、ログイン確認などを騙ったメッセージから始まる。ユーザーがメッセージに含まれるリンクをクリックすると、テレグラムのログインページに見せかけたフィッシングサイトへ誘導される。このサイトは実際のテレグラムサービスに酷似した作りになっており、ユーザーが正規のセキュリティ確認手続きと誤認しやすい。
[図 1] フィッシングサイトの比較 2024年 (左) / 2026年 (右)
特に今回のフィッシングサイトには、セキュリティ検知を回避するための迂回機能も含まれている。サイトはアクセス者の User-Agent 値を確認し、分析ツール、クローラー、セキュリティサービスまたは PC 環境からのアクセスと判断した場合は正規サイトへリダイレクトする。これはセキュリティ担当者や自動分析システムによる検知を回避するための措置とみられる。
[図 2] 迂回ロジックコード
ユーザーがフィッシングページで電話番号を入力すると、テレグラムアプリにログインコードが送信される。フィッシングサイトはユーザーにそのログインコードを入力するよう求める。ユーザーがコードを入力すると、アカウント情報が攻撃者に送信され、攻撃者は被害者のテレグラムアカウントにアクセスできる状態となる。
テレグラムアカウントが乗っ取られた場合、アカウント内の個人情報や会話内容が外部に流出する可能性があり、保存されている連絡先に対して追加のスミッシングメッセージが送信されるなど、二次被害に発展するリスクもある。特にテレグラムは個人的な会話だけでなく、業務、コミュニティ、投資、取引に関するやり取りにも広く利用されているため、アカウントが乗っ取られた際の被害範囲はさらに広がる可能性がある。
そのためユーザーは、テレグラムのセキュリティ確認、アカウント保護、ログイン認証などを理由にリンクへのアクセスを促すメッセージを受け取った場合、十分に注意する必要がある。出所が不明なリンクにはアクセスせず、ログイン情報や認証コードを外部のページに入力してはならない。
また、テレグラムアカウントには必ず2段階認証を設定することが安全だ。2段階認証を有効にすることで、ログインコードが流出した場合でも追加のパスワード入力が必要となるため、攻撃者によるアカウントへのアクセスが困難になる。
あわせて、不審なログイン通知や見覚えのないデバイスからのアクセスがないかを定期的に確認し、必要に応じてアクティブなセッションを終了するセキュリティ習慣も求められる。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: スミッシング