Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス

セキュリティニュース

投稿日時: 更新日時:

Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス

Google傘下のMandiantが、ハッカーグループ ShinyHuntersが行うサイバー攻撃 キャンペーンと整合する活動が2026年1月に入って拡大しているとして注意喚起を出しました。このサイバー攻撃は製品の脆弱性ではなく、電話を使った音声フィッシング(ビッシング)でSSO資格情報とMFAコードをだまし取り、複数のSaaSからデータを持ち出して恐喝に使う点です。

関連:ボイスフィッシング(ビッシング)とは?被害事例や対策を解説

概要

Mandiantの観測では、攻撃者はIT部門を装って従業員に電話し、MFA設定の更新などを口実に企業名を模した偽ログインページへ誘導します。

そこでSSOのID・パスワードやMFAコードを入力させ、攻撃者側の端末を新しいMFAデバイスとして登録させる、という流れです。

この流れは完全なソーシャルエンジニアリングでベンダー製品やインフラの脆弱性が原因ではなく人をだます手口です。

攻撃の流れ

Google Threat Intelligence Groupは、この活動を複数のクラスター(UNC6661、UNC6671、UNC6240)として追跡しています。役割分担や、ShinyHuntersを騙る模倣の可能性も含め、活動を切り分けて理解する狙いです。

UNC6661の例では、企業名にssoやinternalを組み合わせたドメイン(例:companynamesso.com、companynameinternal.com)を用い、偽ポータルへ誘導して認証情報を奪う手口が目立つとされています。


侵入後は、SSOセッションで到達できる範囲のSaaSへ横展開し、ファイルや顧客情報、内部コミュニケーションメッセージなどを持ち出します。

ここは機会主義的になりやすく、侵害されたアカウントの権限と連携アプリ次第で、被害の形が変わるという整理です。

具体的に狙われたSaaSと行動

レポートでは、侵入後に様々なSaaSでデータ窃取のログが観測されています。例として、Microsoft 365(SharePoint)、Salesforce、DocuSignなどでのアクセスやダウンロードが挙げられています。

また、クラウドアプリ内検索で特定の文字列を探す動きも示されています。現場でのハンティング観点としては、この手の検索や大量ダウンロードはシグナルになりやすいです。

poc / confidential / internal / proposal / salesforce / vpn

さらに、少なくとも1件では、Gmailのメール検索・削除を行えるアドオンを悪用し、MFAデバイス登録を知らせる通知メールを削除して発覚を遅らせたとされています。通知を消される前提で、削除操作自体を検知対象に入れる必要があります。

Oktaへのビッシングキャンペーン

今回のビッシングキャンペーンについては、脅威インテリジェンスの文脈で、研究者側が攻撃者から直接接触を受けたとする投稿も出ています。

セキュリティ企業のCTO Alon Gal氏はLinkedIn上で、ShinyHunters側が最近のOkta SSOを狙ったビッシングキャンペーンへの関与を認めたと伝え、複数社(CrunchbaseSoundCloudBetterment)のデータを公開した、という趣旨を記載しています。

また、公開されたデータの説明文(PIIを含む等)にも触れており、被害企業への恐喝が前提にある構図がうかがえます。

なお、これは攻撃者側の自己申告を含むため、事実認定は各社の公式発表と突き合わせて判断する必要があります。

関連:ハッカー グループがSoundCloud(サウンドクラウド)やCrunchbaseへのサイバー攻撃を主張-Oktaへのビッシングか

フィッシング用ドメインの誘導パターン

攻撃者は企業名を混ぜた見た目のドメインを大量に登録し、SSOや社内ポータル、サポート窓口を装う形式が多いとされています。公開時点で特定済みのフィッシングドメインはChrome Safe Browsing側にも追加済みです。

  • Corporate SSO

    • <companyname>sso[.]com

    • my<companyname>sso[.]com

    • my-<companyname>sso[.]com

  • Internal Portals

    • <companyname>internal[.]com

    • www.<companyname>internal[.]com

    • my<companyname>internal[.]com

  • Support/Helpdesk

    • <companyname>support[.]com

    • ticket-<companyname>[.]support

    • support-<companyname>[.]com

  • Identity Providers

    • <companyname>okta[.]com

    • <companyname>azure[.]com

    • on<companyname>zendesk[.]com

  • Access Portal

    • <companyname>access[.]com

    • www.<companyname>access[.]com

    • my<companyname>acess[.]com(accessのスペル違いを混ぜる例)

加えて、クラスター別の傾向として、UNC6661側はドメイン登録にNICENICが多く、UNC6671側はTucowsが多い、という示唆があります。

ネットワークIOC(IP、ASN、関連クラスター)

以下はレポートに掲載されたネットワーク指標です。多くが商用VPNやレジデンシャルプロキシ基盤(例:MullvadOxylabsNetNut9ProxyInfaticansocks)に紐づく可能性があるため、全社一括遮断よりも、まずはハンティングと相関分析に寄せるべきだと注意されています。

UNC6661

IOC(defanged) ASN
24.242.93[.]122 11427
23.234.100[.]107 11878
23.234.100[.]235 11878
73.135.228[.]98 33657
157.131.172[.]74 46375
149.50.97[.]144 201814
67.21.178[.]234 400595

UNC6671

IOC(defanged) ASN
142.127.171[.]133 577
76.64.54[.]159 577
76.70.74[.]63 577
206.170.208[.]23 7018
68.73.213[.]196 7018
37.15.73[.]132 12479
104.32.172[.]247 20001
85.238.66[.]242 20845
199.127.61[.]200 23470
209.222.98[.]200 23470
38.190.138[.]239 27924
198.52.166[.]197 395965

行動IOC(ログで拾いやすい観測点)

ここからは、IPやドメイン以外で、ログ上の特徴として拾いやすい観測点です。レポートにはOktaやO365、Google Workspaceなどを想定した検知観点(ルール名、ハンティングクエリ例)が整理されています。

  • Okta周辺

    • 匿名化IPからの不審な操作(管理系イベント、権限付与、登録系イベントなど)

  • Google Workspace周辺

情シスが優先して取るべき対策

短期で効く順に並べると、ポイントは3つです。

  1. ヘルプデスク運用を締める
    MFA再登録やパスワードリセットが、電話口の誘導だけで通ってしまう組織は狙われやすいです。本人確認の強化、折り返し、アウトオブバンド承認など、面倒でも高保証の手順へ寄せるのが現実解です。

  2. フィッシング耐性のあるMFAへ寄せる
    レポートは、FIDO2セキュリティキーやパスキーのようなフィッシング耐性の高い方式への移行を明確に推奨しています。プッシュ承認やSMSは、電話誘導で突破される余地が残ります。

  3. ID起点の監視へ組み直す
    Okta側の不審な管理操作、匿名化IPからの挙動、M365でのPowerShell経由の大量ダウンロード、セキュリティ通知メールの削除など、レポートに沿った観測点をSIEMで相関させます。

まとめ

今回のレポートは、SSOとSaaSが当たり前になった環境で、脆弱性よりも人をだます攻撃がコスト効率良く成立してしまう現実を突き付けています。電話一本で認証フローが崩れる運用が残っている組織は、侵入後にクラウド全体へ被害が波及しやすいです。

参照

Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft