Google傘下のMandiantが、ハッカーグループ ShinyHuntersが行うサイバー攻撃 キャンペーンと整合する活動が2026年1月に入って拡大しているとして注意喚起を出しました。このサイバー攻撃は製品の脆弱性ではなく、電話を使った音声フィッシング(ビッシング)でSSO資格情報とMFAコードをだまし取り、複数のSaaSからデータを持ち出して恐喝に使う点です。
関連:ボイスフィッシング(ビッシング)とは?被害事例や対策を解説
目次
概要
Mandiantの観測では、攻撃者はIT部門を装って従業員に電話し、MFA設定の更新などを口実に企業名を模した偽ログインページへ誘導します。
そこでSSOのID・パスワードやMFAコードを入力させ、攻撃者側の端末を新しいMFAデバイスとして登録させる、という流れです。
この流れは完全なソーシャルエンジニアリングでベンダー製品やインフラの脆弱性が原因ではなく人をだます手口です。
攻撃の流れ
Google Threat Intelligence Groupは、この活動を複数のクラスター(UNC6661、UNC6671、UNC6240)として追跡しています。役割分担や、ShinyHuntersを騙る模倣の可能性も含め、活動を切り分けて理解する狙いです。
UNC6661の例では、企業名にssoやinternalを組み合わせたドメイン(例:companynamesso.com、companynameinternal.com)を用い、偽ポータルへ誘導して認証情報を奪う手口が目立つとされています。
侵入後は、SSOセッションで到達できる範囲のSaaSへ横展開し、ファイルや顧客情報、内部コミュニケーションメッセージなどを持ち出します。
ここは機会主義的になりやすく、侵害されたアカウントの権限と連携アプリ次第で、被害の形が変わるという整理です。
具体的に狙われたSaaSと行動
レポートでは、侵入後に様々なSaaSでデータ窃取のログが観測されています。例として、Microsoft 365(SharePoint)、Salesforce、DocuSignなどでのアクセスやダウンロードが挙げられています。
また、クラウドアプリ内検索で特定の文字列を探す動きも示されています。現場でのハンティング観点としては、この手の検索や大量ダウンロードはシグナルになりやすいです。
さらに、少なくとも1件では、Gmailのメール検索・削除を行えるアドオンを悪用し、MFAデバイス登録を知らせる通知メールを削除して発覚を遅らせたとされています。通知を消される前提で、削除操作自体を検知対象に入れる必要があります。
Oktaへのビッシングキャンペーン
今回のビッシングキャンペーンについては、脅威インテリジェンスの文脈で、研究者側が攻撃者から直接接触を受けたとする投稿も出ています。
セキュリティ企業のCTO Alon Gal氏はLinkedIn上で、ShinyHunters側が最近のOkta SSOを狙ったビッシングキャンペーンへの関与を認めたと伝え、複数社(Crunchbase、SoundCloud、Betterment)のデータを公開した、という趣旨を記載しています。
また、公開されたデータの説明文(PIIを含む等)にも触れており、被害企業への恐喝が前提にある構図がうかがえます。
なお、これは攻撃者側の自己申告を含むため、事実認定は各社の公式発表と突き合わせて判断する必要があります。
関連:ハッカー グループがSoundCloud(サウンドクラウド)やCrunchbaseへのサイバー攻撃を主張-Oktaへのビッシングか
情シスが優先して取るべき対策
短期で効く順に並べると、ポイントは3つです。
-
ヘルプデスク運用を締める
MFA再登録やパスワードリセットが、電話口の誘導だけで通ってしまう組織は狙われやすいです。本人確認の強化、折り返し、アウトオブバンド承認など、面倒でも高保証の手順へ寄せるのが現実解です。 -
フィッシング耐性のあるMFAへ寄せる
レポートは、FIDO2セキュリティキーやパスキーのようなフィッシング耐性の高い方式への移行を明確に推奨しています。プッシュ承認やSMSは、電話誘導で突破される余地が残ります。 -
ID起点の監視へ組み直す
Okta側の不審な管理操作、匿名化IPからの挙動、M365でのPowerShell経由の大量ダウンロード、セキュリティ通知メールの削除など、レポートに沿った観測点をSIEMで相関させます。
まとめ
今回のレポートは、SSOとSaaSが当たり前になった環境で、脆弱性よりも人をだます攻撃がコスト効率良く成立してしまう現実を突き付けています。電話一本で認証フローが崩れる運用が残っている組織は、侵入後にクラウド全体へ被害が波及しやすいです。
参照
Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft








