セキュリティ企業ReliaQuestは、Helixと名付けた新たなデータ恐喝グループの活動を確認したと公表しました。ボイスフィッシング(ビッシング)、デバイスコードフィッシング、多要素認証(MFA)の悪用といった、アイデンティティを起点にした手口を組み合わせ、Microsoft SharePoint環境からデータを窃取しているとされています。当サイトでも以前、ShinyHuntersがボイスフィッシングを起点にSaaSへ不正アクセスした事案や、デバイスコードフィッシングを提供するフィッシング・アズ・ア・サービスKali365に関するFBIの警告を取り上げましたが、今回のHelixはこれらと同種の手口を組み合わせ、既存の恐喝グループの系譜に連なるとみられる新興グループです。
サマリー
- セキュリティ企業ReliaQuestは、ビッシング・デバイスコードフィッシング・MFAの悪用を組み合わせ、Microsoft SharePoint環境からデータを窃取する新興のデータ恐喝グループHelixの活動を確認したと公表した
- 侵入はビッシングから始まり、攻撃者は被害者の上司を名乗って電話をかけ、上司の氏名や発信者番号の偽装を使って本物らしく見せかけたうえで、被害者にデバイスコードフィッシングの手順を踏ませ、Chrome上でデバイスコードを入力させることでアカウントへのアクセスを得ている
- アカウントへの侵入後、Helixはまず新しいMFA認証アプリを登録して永続的なアクセスを確保したうえで、SharePoint内を閲覧・列挙し、最終的に大量のファイルを外部へ持ち出す
- SharePoint内の探索には、python-requests/2.28.1というユーザーエージェントを使い、contentclass:STS_Siteやワイルドカード(*)を用いた検索でアクセス可能なコンテンツを網羅的に洗い出す、自動化されたツールが使われている
- データ持ち出し専用のIPアドレスは初期アクセスには一切使われず、被害者の所在地に合わせた住宅用プロキシ経由で認証した後、このIPへ切り替えて一括ダウンロードを行うという、役割を分離した運用が確認されている
- ReliaQuestは、Helixが使用する手口やインフラの特徴から、2026年4月に活動を停止したBlackFile(別名Cordial Spider、UNC6671)や、恐喝グループShinyHunters(別名Snarky Spider、UNC6661)のエコシステムから派生した可能性が高いと評価しているが、確定的な関連づけには至っていない
- 窃取されたデータは、公開すると脅して身代金を要求する、あるいは他のサイバー犯罪者へ販売するという形で悪用されるとされている
| 項目 | 内容 |
|---|---|
| 発見者 | ReliaQuest |
| グループ名 | Helix |
| 攻撃対象 | Microsoft SharePoint環境 |
| 主な手口 | ビッシング、デバイスコードフィッシング、MFA悪用 |
| 侵入の起点 | 上司を装った電話でデバイスコードフィッシングへ誘導 |
| 侵入後の行動 | 新規MFA認証アプリの登録による永続化、SharePointの自動列挙・大量ダウンロード |
| 使用されたツール痕跡 | python-requests/2.28.1のユーザーエージェント、contentclass:STS_Siteの検索クエリ |
| データ持ち出し用IP | 179.43.185[.]230(初期アクセスには不使用、持ち出し専用) |
| 関連が疑われるグループ | BlackFile(Cordial Spider、UNC6671)、ShinyHunters(Snarky Spider、UNC6661) |
| 窃取データの用途 | 公開による恐喝、他のサイバー犯罪者への販売 |
何が起きたか
ReliaQuestが確認したHelixの攻撃は、複数の被害組織にまたがって共通する手口とインフラを使っている点が特徴です。侵入はまずビッシングから始まります。
攻撃者は標的となる従業員へ電話をかけ、その従業員の上司を名乗ります。
上司の実名を使ったり、発信者番号を偽装したりすることで、電話の信憑性を高める工夫がなされています。
この電話の目的は、従業員をデバイスコードフィッシングと呼ばれる手口に誘導することで攻撃者は電話越しに従業員を誘導し、Chrome上に表示されるデバイスコードを入力させます。
これにより、Microsoft側の正規の認証の仕組みを悪用する形で、パスワードを直接盗むことなく、条件付きアクセスポリシーを回避したセッションを攻撃者側が獲得してしまいます。
アカウントへのアクセスを得たHelixの運用者は、数分以内に新しい多要素認証アプリをそのアカウントへ登録し、永続的なアクセス手段を確保します。そのうえでMicrosoft 365環境内、特にSharePointを中心に探索と情報収集を行い、最終的に大量のファイルを外部へ持ち出します。窃取されたデータは、公開すると脅して被害組織へ身代金を要求する、あるいは他のサイバー犯罪者へ販売するという形で恐喝に使われるとされています。
ReliaQuestが技術的に最も特徴的だとしているのが、SharePointからのデータ持ち出しの手口です。
複数の事案において、自動化された列挙・収集の挙動がほぼ同一であり、これがHelixを特定するうえで最も信頼できる手がかりになっているといいます。具体的には、179.43.185[.]230というIPアドレスから、python-requests/2.28.1というユーザーエージェントを使った探索が行われており、contentclass:STS_Siteやワイルドカード(*)を用いたSharePoint検索クエリを発行することで、アクセス可能なコンテンツを網羅的に洗い出し、同一のIPアドレスとユーザーエージェントから一括ダウンロードを実行しています。
興味深いのは、このデータ持ち出し専用のIPアドレスが、初期アクセスの段階では一切使われていない点です。
攻撃者はまず、被害者の所在地に地理的に一致させた住宅用プロキシ経由で認証を行い、その後この持ち出し専用のIPへ切り替えて大量のデータをダウンロードするという、役割を分離した運用を取っています。侵入の痕跡を隠す事後処理は最小限かつ一貫性を欠いており、確認されたケースの一部では、被害者の受信箱からフィッシング啓発の通知メールを削除するという行動も見られましたが、これはBlackFileやShinyHuntersの過去の活動でも確認されている挙動であり、直接的な関連というより、共通する手口の踏襲である可能性もあるとされています。
攻撃が完了するまでの時間は事案によって大きく異なります。ある事案ではアクセス獲得から大量データ持ち出しまで1時間もかからずに完了した一方、別の事案では1日から2日かけて行われ、さらに別の事案では1週間以上にわたって断続的にメールへアクセスし続け、住宅用IPを次々と切り替えながらBoxからのデータ窃取を経て、最終的にSharePointへ移行するというケースもありました。ある事案では、アカウントが無効化された後、30分から40分以内に攻撃者がMFAの再登録とパスワードリセットを試みており、封じ込め対応がどこまで有効だったかを攻撃者側が即座に確認しようとする様子もうかがえます。
ShinyHunters・BlackFileとの関連
ReliaQuestは、Helixが使用する手口やインフラの特徴から、既存の恐喝グループの系譜から派生した可能性が高いと評価しています。1つ目の手がかりは、フィッシングに使われたドメインoskeysync[.]comの登録に、レジストラのNICENICが使われていた点です。このレジストラは過去、BlackFileとShinyHuntersの双方のキャンペーンでも使用されていたことが確認されています。2つ目の手がかりは、データ持ち出しに使われたIPアドレス179.43.185[.]230が、確認済みのBlackFileの活動に関連するIPアドレス(179.43.185[.]226)から、同じ自律システム番号(AS 51852)内でわずか4つしか離れていない位置にホストされていた点です。
BlackFileは、企業のITヘルプデスク職員を装う手口で従業員の認証情報を盗み、7桁規模の身代金を要求していたグループで、2026年4月に活動を停止したとされていますが、その後PinkやRedactといった後継のブランドが短期間のうちに現れています。Helixの出現も、こうした恐喝エコシステムの分裂・再編という流れの延長線上にあるとみられます。ReliaQuestは、Helixが直接の後継組織なのか、あるいは同じ手口を模倣した別の集団なのかという厳密な帰属の特定よりも、手口とインフラが名前を変えながら生き残り続けているという構造そのものに注意を払うべきだと指摘しています。
原因
Helixの手口が有効に機能している背景には、パスワードの窃取や既知の脆弱性の悪用に依存しない、アイデンティティを起点にした侵入の巧妙さがあります。デバイスコードフィッシングは、被害者から見れば本物のMicrosoft認証ページを操作しているように映るため、フィッシングだと気づかれにくいという特性を持っています。
当サイトで以前紹介したKali365の事例でも指摘した通り、この手法は多要素認証が正しく機能している状態であってもそれを迂回でき、パスワードの変更後もリフレッシュトークンを通じて長期間アクセスを維持できるという、極めて厄介な性質を持っています。ビッシングによる人的な信頼の悪用と、デバイスコードフィッシングという技術的な迂回手段を組み合わせることで、従来型のマルウェアや既知の脆弱性を使わずとも、正規のクラウドサービスの仕組みの中だけで攻撃が完結してしまう点が、検知を難しくしている根本的な要因です。
情報システム部門への示唆
ReliaQuestが示す対策の中で、最も効果が高いとされているのが、可能な範囲でデバイスコード認証そのものを無効化することです。業務上デバイスコード認証を使う必要がない組織であれば、これを無効化するだけでHelixが使う侵入経路の一つを根本的に断つことができます。あわせて、SharePointやExchangeのような機密性の高いSaaSアプリケーションへのアクセスを、組織が管理する端末のみに制限することも有効な対策です。今回確認された事案でも、管理外の端末からのアクセスが被害拡大の一因になっていたとされています。フィッシングに使われるドメインの多くは登録されてから日が浅い傾向があるため、新規登録ドメインをプロキシやDNSの層でブロックする仕組みも、Helixが使うような短命なインフラへの対策として有効です。
対応の初動についても教訓があります。パスワードのリセット、セッションの無効化、アカウントの無効化といった標準的な対応は、迅速に、かつクラウドとオンプレミスの両方のIDシステムに対して同時に実施された場合には有効に機能したとされています。一方で、対応が遅れたり、片方のシステムだけへの対応にとどまったりした場合には、攻撃者に再侵入の隙を与えてしまう可能性があります。今回のHelixの事例が示す通り、電話を使った巧妙な社会的工作と、正規の認証フローを悪用する技術的な手口が組み合わさった攻撃に対しては、社員研修による警戒心の向上だけでなく、そもそも悪用されうる認証方式自体を見直すという、技術的な統制の両輪が求められます。
出典
- New Helix vishing group emerges in SharePoint data theft attacks – BleepingComputer
- Helix, a New Name in the Data Extortion Ecosystem? – ReliaQuest(一次ソース)
- New Helix Extortion Group Targets Enterprises With MFA Abuse and SharePoint Exfiltration – GBHackers
- Helix data extortion group linked to BlackFile, ShinyHunters – SecurityBrief
- Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス – セキュリティ対策Lab
- FBIが「Kali365」フィッシング・アズ・ア・サービスに関する公式アラートを発出 – セキュリティ対策Lab








