はじめに: Mandiantが新たな脅威活動を警告

Google傘下のMandiantは金曜日、金融目的のハッキンググループShinyHuntersが組織する恐喝攻撃と一致する「脅威活動の拡大」を特定したと発表しました。これらの攻撃は、高度な音声フィッシング（vishing）と、標的企業を模倣した偽の認証情報収集サイトを利用して、被害者の環境への不正アクセスを獲得し、シングルサインオン（SSO）認証情報と多要素認証（MFA）コードを収集します。最終的な目的は、クラウドベースのサービスとしてのソフトウェア（SaaS）アプリケーションを標的とし、機密データや内部通信を抜き取り、被害者を恐喝することです。

Mandiantは、これらの活動をUNC6661、UNC6671、UNC6240（ShinyHuntersとしても知られる）を含む複数のクラスターで追跡しており、これらのグループが手口を進化させている可能性や、以前観察された戦術を模倣している可能性を考慮しています。

UNC6661による攻撃の詳細

UNC6661は、2026年1月初旬から中旬にかけて、標的となる組織の従業員にITスタッフを装って電話をかけ、多要素認証（MFA）設定の更新を指示すると偽って、認証情報収集リンクに誘導しているのが確認されました。窃取された認証情報は、自身のデバイスをMFAに登録するために使用され、その後、ネットワーク内で横移動してSaaSプラットフォームからデータを持ち出します。

少なくとも1つのケースでは、この脅威アクターは、侵害したメールアカウントへのアクセスを悪用し、暗号通貨に特化した企業の連絡先にさらにフィッシングメールを送信した後、痕跡を隠蔽するためにメールを削除しました。この活動の後、UNC6240による恐喝活動が行われます。

UNC6671による攻撃の詳細

UNC6671もまた、2026年1月初旬から、被害者を欺いて認証情報収集サイトで認証情報とMFA認証コードを入手するためにITスタッフを装っていることが特定されています。少なくとも一部の事例では、脅威アクターはOktaの顧客アカウントへのアクセスを獲得しました。UNC6671は、PowerShellを利用してSharePointやOneDriveから機密データをダウンロードしたことも確認されています。

脅威アクター間の相違と動機

UNC6661とUNC6671の違いは、認証情報収集ドメインの登録に使用されるドメインレジストラ（UNC6661はNICENIC、UNC6671はTucows）に関連しています。また、UNC6671の活動後に送信された恐喝メールが既知のUNC6240の兆候と重複しなかったという事実は、異なる人々が関与している可能性を示唆しており、サイバー犯罪グループの曖昧な性質を示しています。

さらに、暗号通貨企業を標的としていることは、脅威アクターがさらなる金銭的利益の道を模索している可能性を示唆しています。

Googleが推奨する対策

SaaSプラットフォームへの脅威に対抗するため、Googleは以下の強化策、ログ記録、検出に関する推奨事項を提示しています:

• ヘルプデスクのプロセスを改善し、担当者が身元確認のためにライブビデオ通話を要求するなど。
• 信頼できる出口点と物理的な場所へのアクセスを制限し、強力なパスワードを強制し、SMS、電話、メールを認証方法から削除すること。
• 管理プレーンへのアクセスを制限し、公開された秘密情報を監査し、デバイスアクセス制御を強制すること。
• IDアクション、承認、SaaSエクスポート動作に関する可視性を高めるためのログを実装すること。
• MFAデバイス登録とMFAライフサイクル変更を検出し、ToogleBox Email Recallのようなユーティリティを使用したメールボックス操作を示唆するOAuth/アプリ認証イベントや、通常の業務時間外に発生するIDイベントを監視すること。

ソーシャルエンジニアリングとフィッシング耐性MFAの重要性

Googleは、「この活動はベンダー製品やインフラのセキュリティ脆弱性の結果ではありません」と述べています。その代わりに、ソーシャルエンジニアリングの有効性を浮き彫りにし、可能な限りフィッシング耐性のあるMFAへの移行の重要性を強調しています。プッシュベースやSMS認証とは異なり、FIDO2セキュリティキーやパスキーなどの方法はソーシャルエンジニアリングに対して耐性があります。

---

元記事: https://thehackernews.com/2026/01/mandiant-finds-shinyhunters-using.html