ロシア情報機関がTeams・Signal・Slackを偽装したフィッシングを継続、CISA/FBIが2026年6月に更新警告

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「社員がTeamsのサポートと名乗るメッセージを受け取ったと言ってきた、これは本物なのか?」
「Signalは暗号化されているから安全と思っていたのに、フィッシングでアカウントを乗っ取られるのか?」

チップス

ボス、うちの会社でもTeamsのサポートチームを名乗るメッセージが来たって社員から報告があったんでしゅ。

ボス

それはロシア情報機関(RIS)が使う典型的な手口だ。CISAとFBIが2026年6月に更新警告を出した。Teams、Slack、Signal、WhatsAppすべてが標的になっている。

CISAとFBIは2026年6月26日、ロシア情報機関(RIS)に関連するサイバー攻撃者が商用メッセージングアプリを悪用したフィッシングキャンペーンを継続しているとする更新警告(PSA260626)を発行した。
Microsoft Teams・Slack・Signal・WhatsAppなど日本企業でも広く使われるツールのサポートを装い、認証情報や回復キーの窃取を試みる手口が高度化している。

  • Teams・Slack・Signal・WhatsAppの公式サポートを装ったフィッシングが継続中
  • SignalではバックアップRecovery Keyを窃取する手口に進化、過去の会話が丸ごと流出する恐れ
  • 政府機関・軍・ジャーナリスト・企業幹部が主な標的、日本でも関連組織は警戒が必要

この記事では、RISが使う具体的なフィッシングの手口と、組織として取れる対策を解説する。
社員へのリテラシー教育と技術的な防御策を組み合わせることで、被害を防げる可能性が大きく高まる。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

ロシア情報機関によるメッセージングアプリへのフィッシング攻撃の概要

暗号化メッセージングアプリを標的にした国家レベルの攻撃が、継続・進化している。

「自動サポートアカウント」を偽装してリンクや認証コードを要求

RISに関連するサイバー攻撃者が使う手口は、ソーシャルエンジニアリングを組み合わせたものだ。
攻撃の流れは以下の通りだ。

  • TeamsやSlackなど対象アプリの「自動サポートアカウント」を偽装したメッセージを送る
  • 「アカウント確認が必要」「認証コードを入力してください」とリンクや検証コードの入力を促す
  • 被害者が操作すると、攻撃者のデバイスが連携デバイスとして追加されるか、アカウント全体が乗っ取られる
チップス

公式サポートと偽って連絡してくるって、どうやって見分ければいいんでしゅか?

ボス

本物のCMAサポートは公式メールアドレス経由でのみ連絡する。アプリ内のダイレクトメッセージで認証コードやPINを求めることは絶対にない。そこを徹底して社員に教えることが第一の防御だ。

進化する攻撃手口と組織として取るべき対策

攻撃者の手口は単なるパスワード窃取にとどまらず、さらに深刻な段階に進化している。

SignalのBackup Recovery Key窃取で過去のメッセージが丸ごと流出

FBIが特に注意を促しているのが、Signalのバックアップ回復キー(Backup Recovery Key)を標的にした手口だ。
攻撃者がこのキーを入手すると、被害者の過去のメッセージすべてに遡ってアクセスできる。
エンドツーエンド暗号化が保護するのは「通信経路」だが、回復キーが漏洩した場合は「保存されたデータ」が危険にさらされる。

組織として今すぐ取れる対策は以下の通りだ。

  • 社員への周知:アプリ内DM・SMS・電話での認証コード要求は詐欺として扱うよう徹底する
  • デバイス連携の確認:Teams・Slack・Signalの設定で見知らぬデバイスが連携されていないか確認する
  • フィッシング耐性のあるMFA導入:SMSやアプリ通知に依存しないFIDO2/パスキーによる多要素認証に移行する
  • 標的型フィッシング訓練:特に政府・防衛・報道機関との取引がある組織は、なりすましメッセージへの耐性訓練を実施する

主な標的は政府・軍・外交官・ジャーナリストとされているが、こうした組織と日常的に連絡を取る企業や団体も間接的な標的になり得る。
日本企業も例外ではなく、特に国際的な業務に関わる組織では警戒が必要だ。

チップス

SignalのRecovery Keyって、普通どこに保存するんでしゅか?もし盗まれたらどうすれば……。

ボス

まず設定を開いて、連携デバイス一覧に見覚えのないものがないか確認しろ。あれば即刻削除して回復キーを再生成する。疑わしければ疑うのがセキュリティの基本だ。

まとめ:メッセージングアプリも「公式通知」を信用してはいけない時代

RISによるメッセージングアプリへのフィッシングは、暗号化通信への過信を突いた巧妙な攻撃だ。
Teams・Slack・Signalのサポートを名乗る連絡がアプリ内のDMで届いた場合、それは詐欺だと考えてよい。
社員教育、デバイス連携の定期確認、フィッシング耐性MFAへの移行という3点セットで対策を進めていただきたい。

チップス

まず社員全員にTeamsのDMで認証コードを絶対に教えるなって周知メールを出しましゅ!

ボス

ふふふ。それでいい。知らなければ騙される。知っていれば騙されない。情報が最初の防壁だ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次