先日発生したフィッシング攻撃による Twilio の情報流出で、攻撃者がメッセージングアプリ Signal のユーザーおよそ 1,900 人分の携帯電話番号や SMS 認証コードを取得した可能性があるそうだ (Signal Support の記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。

Signal は Twilio の電話番号認証サービスを利用しており、攻撃者は Twilio がアクセスをブロックするまでの間、取得した電話番号と SMS 認証コードを用いて別のデバイスへの登録を試みた可能性がある。攻撃者は明示的に 3 ユーザーの電話番号を検索しており、そのうちの一人からアカウントの再登録が行われたとの報告を受けているとのこと。

これを受けて Signal では影響を受けた可能性のあるおよそ 1,900 人分のデバイスを登録解除し、引き続き使用するデバイスでの再登録を求めたほか、SMS での通知も行ったという。再登録の要請は 8 月 15 日に行い、16 日には完了したそうだ。メッセージ履歴や連絡先、ユーザープロファイルなどの情報は読み取られていないが、攻撃者がアカウントの再登録に成功していた場合はそのアカウントからメッセージの送受信が行われた可能性がある。

Signal では Twilio やその他のプロバイダーとセキュリティプラクティスの改善を進めているが、ユーザーが自ら防御する方法として登録ロックの使用を推奨している。