偽求人キャンペーンで広告・マーケ人材を狙うサイバー攻撃 GoogleがUNC6229の手口を分析・対策を実施

セキュリティニュース

投稿日時: 更新日時:

偽求人キャンペーンで広告・マーケ人材を狙うサイバー攻撃 GoogleがUNC6229の手口を分析・対策を実施

Google Threat Intelligence Group(GTIG)は、ベトナム拠点とみられる金銭目的の攻撃クラスタが、正規の求人・フリーランス募集を装った偽求人を用い、デジタル広告・マーケティング分野の個人を狙ってマルウェア配布やフィッシングを仕掛けていると報告しました。

GTIGはこの活動の一部をUNC6229として追跡しており、目的は企業の広告・SNSアカウントの乗っ取りとされています。攻撃者は奪取したアカウントで広告枠を売る、あるいはアカウント自体を転売するなどして収益化を図ります。

狙われる人とリスクの生じ方

標的はリモート勤務や副業・契約で働く広告運用者・マーケ担当者です。

被害者が私物端末で仕事用アカウントにアクセスしている、あるいは業務端末で私用アカウントにログインしていると、感染や認証情報入力の時点で攻撃者が企業側の広告・SNS管理権限に到達し得ます。乗っ取りに成功すると、キャンペーン配信、課金、ブランド発信など企業資産に直結する操作が可能になります。

入口はLinkedInでの偽求人

攻撃はまずLinkedInなど正規の求人プラットフォームや、攻撃者が作成した偽の求人サイトに魅力的な募集を掲載することから始まります。

応募者は氏名・連絡先・履歴書を自発的に送付し、以後の連絡を採用プロセスの続きと誤信しやすくなります。収集した応募者情報は、冷やかしメールの再送名簿の転売にも再利用されます。

初動連絡とSaaSの悪用

応募後の最初の連絡は個別にパーソナライズされ、本文にリンクや添付がない無害に見える内容から始まります。

連絡にはCRMや業務SaaS(例:Salesforce)が悪用されることがあり、信頼された送信基盤を通すことでスパム・フィルタ回避を狙います。Googleは、攻撃で悪用されたGoogle GroupsAppSheetなど自社サービスの利用遮断を進めています。

ペイロード配布:パス付きZIPか「面接予約」型フィッシング

やり取りが進むと、攻撃者は次のいずれかを提示します。

  • マルウェア添付パスワード付きZIPを「スキルテスト」「申込書」などと称して開封を促し、**RAT(リモートアクセス型)**等で端末の制御やセッション奪取を行います。

  • フィッシングURL面接予約ポータルなどに見せかけたページに誘導し、企業用メール資格情報の入力を狙います。
    これらのフィッシング・キットは大手企業のブランドを模倣し、OktaやMicrosoftを含む各種MFAに対応できるよう設計されている事例が確認されています。

帰属と運用実態

GTIGは、ベトナム在住の金銭目的アクターの集合による活動と高い確度で評価しています。TTP(戦術・技術・手順)やインフラの共有が見られ、私設フォーラム等でツールや成功事例を交換している可能性があります。攻撃は被害者主導の接触を軸に、商用SaaSの濫用分野特化の対象選定を組み合わせるのが特徴です。

Googleの対抗措置

GTIGは特定したサイト・ドメイン・ファイルをSafe Browsingのブロックリストに追加し、主要ブラウザでの保護を強化しています。加えて、悪用されたSaaS提供事業者への連携、Google製品でのアクター活動ブロック、コミュニティへの情報共有を継続しています。

実務への影響

広告・SNSの管理権限が奪取されると、不正広告出稿・アカウント売買・ブランド毀損につながります。部門横断で運用されるビジネス・マネージャーや広告アカウントは権限継承が複雑なため、単一端末・単一ユーザーの破綻が広範囲の被害に拡大しやすい点に留意が必要です。

代表的IOC(一部)

  • ドメイン:staffvirtual[.]website

  • ハッシュ(SHA-256):
    137a6e6f09cb38905ff5c4ffe4b8967a45313d93bf19e03f8abe8238d589fb42
    33fc67b0daaffd81493818df4d58112def65138143cec9bd385ef164bb4ac8ab
    35721350cf3810dd25e12b7ae2be3b11a4e079380bbbb8ca24689fb609929255
    bc114aeaaa069e584da0a2b50c5ed6c36232a0058c9a4c2d7660e3c028359d81
    e1ea0b557c3bda5c1332009628f37299766ac5886dda9aaf6bc902145c41fd10

推奨される対策(個人・組織)

  • 人事・採用のなりすまし対策:求人連絡は公式ドメインのメール正規応募ポータルに限定します。ZIPや実行形式の事前提出物の強要は基本的に拒否します。

  • 業務環境の分離:私物端末からの広告・SNS管理を禁止し、MDM管理端末とブラウザプロファイル分離を徹底します。

  • 認証強化:広告・SNS・ID基盤(Google/Microsoft/Okta等)はフィッシング耐性のあるMFA(FIDOパスキー等)を既定化します。OAuth同意画面の制限と未知アプリの遮断を導入します。

  • 権限と監査:広告アカウントの最小権限共有アカウント禁止管理者操作のアラート異常な予算消化・配信変化の検知を設定します。

  • メール・Web防御Safe Browsing/URL検査の強制、URL短縮の展開表示添付のサンドボックス実行を組織ポリシーにします。

  • 教育:採用連絡を装う面接予約・課題提出フローでの資格情報入力マクロ・実行形式の開封を禁止するロール別訓練を定期化します。

参照

Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials