ShinyHuntersがSSOアカウントを標的としたデータ窃取攻撃を主張
悪名高い恐喝グループShinyHuntersが、Okta、Microsoft、Googleのシングルサインオン(SSO)アカウントを標的とした大規模なボイスフィッシング攻撃の背後にいると主張しています。この攻撃により、脅威アクターは企業のSaaSプラットフォームに侵入し、恐喝目的で企業データを窃取しているとのことです。
巧妙なボイスフィッシングの手口
攻撃者は、ITサポート担当者を装って従業員に電話をかけます。そして、巧妙なソーシャルエンジニアリングを通じて、偽のログインポータルを模倣したフィッシングサイトに、自身の資格情報と多要素認証(MFA)コードを入力するよう誘導します。一度SSOアカウントが侵害されると、攻撃者はそのアカウントに接続されている他のエンタープライズアプリケーションやサービスへのアクセス権を得てしまいます。
Okta、Microsoft Entra、GoogleなどのSSOサービスは、サードパーティアプリケーションを一元的な認証フローに統合し、従業員が単一のログインでクラウドサービス、社内ツール、ビジネスプラットフォームにアクセスできるようにします。これらのSSOダッシュボードには通常、接続されているすべてのサービスがリストされており、侵害されたアカウントは企業システムやデータへのゲートウェイとなります。
BleepingComputerによると、脅威アクターは被害者と電話で会話しながらフィッシングサイトに表示される内容を動的に変更できるウェブベースのコントロールパネルを含む、高度なフィッシングキットを使用しているとOktaが報告しています。これにより、攻撃者はリアルタイムでMFAプロセスを突破することが可能になります。
ShinyHuntersが犯行声明、Salesforceへの関心を強調
ShinyHuntersはBleepingComputerに対し、これらのソーシャルエンジニアリング攻撃の一部が自分たちの仕業であることを認めました。グループは「Salesforceが主要な関心と標的であり、残りは受益者である」と述べています。彼らは、過去のデータ侵害(例:広範なSalesforceデータ窃取攻撃)で盗まれたデータ(電話番号、役職、名前など)を利用して従業員を特定し、より説得力のあるソーシャルエンジニアリングコールを行っていると主張しています。
また、ShinyHuntersはTor上のデータ漏洩サイトを再開し、現在以下の企業におけるデータ侵害をリストアップしています。
- SoundCloud: 2025年12月にデータ侵害を公表。
- Betterment: 今月、メールプラットフォームが悪用され、暗号通貨詐欺が送信され、データが盗まれたことを確認。
- Crunchbase: 本日、企業ネットワークから特定の文書が流出したサイバーセキュリティインシデントを確認。
Crunchbaseの広報担当者は、「このインシデントによって事業運営が中断されることはありませんでした。インシデントは封じ込められ、システムは安全です。」と述べ、法執行機関と協力していることを明らかにしました。
企業への影響と対策の重要性
BleepingComputerは、ShinyHuntersによる恐喝要求を受けた複数の企業を認識しており、これらの攻撃が企業に深刻な影響を与えていることを示唆しています。このような高度なソーシャルエンジニアリングとフィッシング攻撃から企業を保護するためには、従業員への継続的なセキュリティ意識向上トレーニング、強力なMFAの導入、そして異常なログイン試行や挙動を検出するための監視体制の強化が不可欠です。