TechCrunchの5月28日独占報道によると、ハッカーのグループがSignalプラットフォーム上で公式カスタマーサポートアカウント「Signal Support」を装い、ユーザーに対して「同期の問題によりチャットバックアップが永久に失われるリスクがある」という偽の警告を送信し、クラウドバックアップの復号に必要な復旧キーを会話内で提供するよう誘導しているという。ワシントン・ポストのアナリスト、ジョシュ・ロギン氏はXで攻撃のスクリーンショットを公開し、複数の反中国共産党活動家がこのようなメッセージを受け取ったと指摘した。Access Nowのデジタルセキュリティホットライン責任者、モハメド・アル=マスカティ氏は、別の背景を持つ2人のユーザーも同様のメッセージを受信しており、攻撃対象がより広範囲に及ぶか、複数のハッカー組織が同じ手口を使用している可能性があるとTechCrunchに語った。今回の攻撃は、Signalが昨年導入した「Secure Backups」(セキュアバックアップ)機能を狙ったものである。この機能は、暗号化されたアカウントコンテンツをSignalサーバーにアップロードし、復号に必要な復旧キーはユーザーのローカルデバイスに保存され、Signalサーバーはこれを取得できない。復旧キーが攻撃者の手に渡ると、ユーザーの過去のメッセージ、写真、ファイルが復号され読み取られてしまう。
これまでのSignalへの攻撃は通常、アカウントの乗っ取りを目的としており、ハイジャックされたアカウントは再登録のために過去のメッセージにアクセスできなくなる。しかし、今回のようなバックアップキーを標的にした攻撃は新たな攻撃経路であり、被害はより深刻である。Signalは公式に「決してユーザーに能動的に連絡することはない」と明言しており、登録コード、PIN、復旧キーを要求することも一切ない。先月にはBlueskyでこのフィッシング攻撃について公開警告を発している。ユーザーへの防御策としては、Registration Lockを有効にすること、復旧キーをパスワードマネージャーや物理的なノートにオフラインで保存すること、そして「Signal Support」を名乗る主動的な連絡には常に高い警戒を払うことが推奨される。