ハッカー グループがSoundCloud(サウンドクラウド)やCrunchbaseへのサイバー攻撃を主張-Oktaへのビッシングか

セキュリティニュース

投稿日時: 更新日時:

ハッカーグループがSoundCloud(サウンドクラウド)やCrunchbaseへのサイバー攻撃を主張-Oktaへのビッシングか

2026年1月、Oktaが電話を使ったソーシャルエンジニアリング(いわゆるビッシング)向けに最適化されたフィッシングキットを複数解析し、攻撃が増加しているとして情報を公開しました。これらのキットは、電話口の攻撃者が被害者のブラウザ表示をリアルタイムに切り替えながらGoogle、Microsoft、Oktanの認証フローを誘導できる点が特徴です。一方で同時期にこのフィッシングツールがOktaにも利用されている事が指摘されています。

概要

Oktaが説明しているボイスフィッシング(ビッシング)ツールは、被害者がフィッシングページに入力したID・パスワードを奪うだけでなく、攻撃者が正規サイトでサインインを試みた際に表示されるMFA(プッシュ通知、ワンタイムパスコードなど)に合わせて、被害者側の画面を即座に切り替え、電話の指示と画面表示を一致させます。これにより、被害者は違和感を持ちにくく、MFAの承認やコード入力まで誘導されます。

攻撃の流れ

Oktaと報道内容をつなげると、攻撃は概ね次の順で進みます。

  • 事前調査で、対象者名、よく使うアプリ、社内サポートの電話番号などを収集

  • 企業や認証基盤になりすましたフィッシングサイトを用意し、サポートを装って電話

  • 被害者にブラウザでフィッシングサイトへ誘導し、ID・パスワードを入力させる

  • 攻撃者が正規サイトでサインインを試し、表示されたMFA種別に合わせてフィッシング画面を切り替え、OTP入力やプッシュ承認を電話で指示

  • SSO侵害後、連携SaaSへアクセスしデータ窃取、検知後は恐喝へ移行

ShinyHuntersがOktaへビッシングか

同時期に、恐喝グループShinyHuntersが、OktaのSSOを狙うビッシングキャンペーンに関与している旨を主張し、複数企業のデータを公開したとする動きが報じられています。セキュリティ企業のCTO Alon Gal氏のLinkedIn投稿では、ShinyHuntersが自分たちの関与を認め、Crunchbase、SoundCloud、Bettermentのデータを公開したと説明しています。

ハッカーグループがSoundCloud(サウンドクラウド)やCrunchbaseへのサイバー攻撃を主張-Oktaへのビッシングか

ShinyHuntersの主張と公開データの扱い

ただ、ハッカーグループShinyHuntersが公開したデータの真正性や影響範囲は、企業側の確認が揃うまで断定できません。

たとえばSoundCloudは2025年12月の時点で、周辺サービスのダッシュボードで不正活動を検知し、パスワードや金融情報などの機微情報はアクセスされておらず、影響はメールアドレスと公開プロフィール情報で、利用者の約20%に及ぶと説明しています。
Hackreadは、ShinyHuntersが主張する件数がSoundCloudの公表内容と近い点に触れつつも、あくまで主張として扱っています。

情報システム部門が優先してやるべき対策

現場で効く対策は、電話に強い本人確認と、フィッシング耐性のある認証への移行です。

  • フィッシング耐性のある認証へ寄せる
    Oktaは、Okta FastPassやFIDO系のパスキーなど、フィッシング耐性のある方式が防御になると明確にしています。まず特権IDと高リスク業務からでもよいので、OTPやプッシュ承認依存を減らしてください。

  • アクセス元を絞る
    Oktaは、匿名化サービスを使う攻撃者を想定し、ネットワークゾーンやテナントのアクセス制御リストで正規アクセス元を許可する考え方を示しています。社内VPNや拠点IP、SASE出口など、正規の入口を定義して寄せるのが現実的です。

  • 電話サポート手順を作り替える
    電話でのOTP読み上げやプッシュ承認依頼は原則禁止にします。必ずチケット起票、社内チャット、ポータル通知など別チャネルで本人確認を取り、折り返しは社員が知っている公式番号に掛け直す運用に寄せます。


    最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。