概要:高度なアイデンティティ詐称キャンペーン
「ShinyHunters」グループが、100を超える高価値企業を標的とした巧妙なアイデンティティ詐称キャンペーンを展開していることが明らかになりました。この攻撃は、特にOktaなどのシングルサインオン(SSO)プラットフォームを狙っており、従来の自動化されたフィッシングとは異なり、人間が主導する「ボイスフィッシング(vishing)」を利用して、多要素認証(MFA)システムをも迂回しています。
攻撃者は「ライブフィッシングパネル」を駆使し、アクティブなログインセッション中に認証情報やMFAトークンをリアルタイムで傍受することで、企業環境への永続的なアクセスを獲得しています。
SLSH「スーパーグループ」の脅威
Silent Push社は、Scattered Spider、LAPSUS$、ShinyHuntersという三大脅威アクターが結託した「SLSH」のTTP(Tactics, Techniques, and Procedures)を模倣したインフラ展開が急増していることを指摘しています。このハイブリッド型のアプローチは、企業のアイデンティティプロバイダーを標的とする強力な初期アクセス戦略を形成しています。
彼らの洗練性は自動化ではなく、人間のインタラクションにあります。攻撃者は、ライブフィッシングページを操作しながらヘルプデスクや従業員に電話をかけ、各被害者の特定のログインプロンプトに合わせてアプローチを調整します。
主な標的企業
- テクノロジー企業: Atlassian, Canva, Epic Games, HubSpot, Zoom
- 金融機関: Blackstone, RBC, State Street
- ヘルスケア: Biogen, Moderna
- 不動産: Simon Property Group, Zillow
- インフラ: AECOM, Halliburton
Silent Pushは、過去30日以内にこれらの組織に対する活発な標的化またはインフラ準備を検出しました。
攻撃の進行と影響
LAPSUS$の戦術を踏襲し、SLSHグループは恐喝を目的とした迅速なデータ流出を優先します。初期のSSO侵害後、攻撃者は内部コミュニケーションプラットフォーム(Slack, Microsoft Teams)に侵入し、管理者をソーシャルエンジニアリングで欺き、より高い権限のアクセスを取得します。最終的に、重要なデータを暗号化し、復号鍵と引き換えに身代金を要求することで、窃盗と事業中断を組み合わせた攻撃を行います。
推奨される対策
標的リストに載っている組織は、緊急の対策を講じる必要があります。
- 従業員への注意喚起: SLSHの活動についてサポートスタッフと従業員に警告を発し、ソーシャルマニピュレーションに対する従業員の意識を高めることが重要です。
- ログのフォレンジック監査: Oktaおよびその他のSSOプロバイダーのログを監査し、「新しいデバイスの登録」イベントに続いて不審なIPアドレスからのログインがないかを特に調査します。これはこの攻撃パターンの特徴です。
- 事前攻撃インテリジェンスの展開: ボイスフィッシングキャンペーンが開始される前に、事前攻撃インテリジェンス機能(例:Silent PushのIOFA™フィード)を展開し、DNSレベルで悪意のある類似ドメインを特定しブロックすることで、攻撃者がコマンド&コントロールインフラを確立するのを防ぎます。
組織は、侵害通知を待つことなく行動を起こすべきです。予防のための窓口は開いていますが、攻撃が特定の従業員を標的とし始めると、その時間は急速に閉ざされます。