Google傘下のセキュリティ企業Mandiantが、金銭目的のハッキンググループ「ShinyHunters」の手法と一致する脅威活動の拡大を確認したと発表しました。この攻撃は高度なボイスフィッシング(ビッシング)と偽の認証情報収集サイトを組み合わせ、多要素認証(MFA)を迂回してSaaSプラットフォームへの不正アクセスを実現するという、非常に巧妙な手口を用いています。企業のセキュリティ担当者にとって見逃せない重要な警告です。
この記事のポイント
- ShinyHuntersの手法を模倣した脅威活動が拡大中
- ボイスフィッシングと偽サイトの組み合わせでMFAを突破
- 標的企業を模倣した認証情報収集サイトが使用される
- SaaSプラットフォームが主な攻撃対象
ShinyHuntersとは何か
ShinyHuntersは金銭目的で活動するハッキンググループとして知られており、過去にも多くの大規模データ侵害事件に関与してきました。このグループは企業のクラウドサービスや開発環境を標的にし、窃取したデータを地下フォーラムで販売することで利益を得ています。Mandiantの調査によると、今回確認された脅威活動はShinyHuntersの従来の手法と一致しており、恐喝をテーマにした攻撃パターンが見られます。
特に注目すべきは、このグループが単純なフィッシングメールだけでなく、電話を使ったソーシャルエンジニアリング(ビッシング)を積極的に活用している点です。これにより、従来のメールベースのセキュリティ対策をすり抜け、直接従業員に接触して認証情報を詐取することが可能になっています。
高度なビッシング攻撃の手口
今回報告された攻撃では、攻撃者が標的企業のIT部門やヘルプデスクを装い、従業員に電話をかけるという手法が用いられています。電話では「セキュリティ上の問題が発生した」「アカウントの確認が必要」といった口実で、被害者を偽の認証サイトに誘導します。
これらの偽サイトは標的企業のログインページを精巧に模倣しており、見た目だけでは本物との区別がつきにくくなっています。被害者がこのサイトにユーザー名とパスワードを入力すると、攻撃者はリアルタイムでこれらの情報を取得。さらに、MFAのワンタイムパスワードやプッシュ通知の承認までも詐取することで、多要素認証という防御層を突破しています。
SaaSプラットフォームが狙われる理由
SaaSプラットフォームは現代の企業にとって業務の中核を担うインフラとなっており、顧客データ、財務情報、知的財産など、価値の高い情報が集約されています。攻撃者にとって、一度SaaSプラットフォームへのアクセス権を獲得すれば、大量のデータを効率的に窃取できるため、非常に魅力的な標的となっています。
また、多くの企業がリモートワークやクラウドファーストの方針を採用している現在、SaaSプラットフォームへの依存度は高まる一方です。これに伴い、攻撃者もこれらのプラットフォームを重点的に狙うようになっており、セキュリティチームは新たな脅威に対応するための体制強化が求められています。
MFAが突破される仕組み
多要素認証は長年にわたりセキュリティのベストプラクティスとして推奨されてきましたが、今回の攻撃はMFAが万能ではないことを改めて示しています。攻撃者は「中間者攻撃」の手法を応用し、被害者と正規サイトの間に割り込むことで、リアルタイムでMFAコードを傍受しています。
具体的には、被害者が偽サイトにパスワードを入力すると、攻撃者はそのパスワードを正規サイトに転送。正規サイトがMFAコードを要求すると、偽サイトも同様にMFAコードの入力を求めます。被害者がMFAコードを入力した瞬間、攻撃者はそのコードを正規サイトに転送してログインを完了させます。この一連の流れは数秒で完了するため、被害者が異変に気づくことは困難です。
知っておくと便利なTips
- ヘルプデスクやIT部門を名乗る電話には慎重に対応し、折り返し電話で本人確認を行う
- ログインページのURLを必ず確認し、ブックマークからアクセスする習慣をつける
- FIDO2/WebAuthnベースのハードウェアセキュリティキーの導入を検討する(フィッシング耐性が高い)
- 不審な電話やメールがあった場合は、即座にセキュリティチームに報告する
- 従業員向けのセキュリティ意識向上トレーニングにビッシング対策を含める
企業が取るべき対策
今回の脅威に対応するため、企業は複数の防御層を組み合わせたアプローチが必要です。まず、従来のSMSやアプリベースのMFAから、フィッシング耐性のあるFIDO2認証への移行を検討すべきです。FIDO2は暗号学的に認証情報を保護し、偽サイトでは動作しないため、今回のような攻撃に対して有効な防御手段となります。
また、従業員教育も重要です。電話でのソーシャルエンジニアリングは技術的な対策だけでは防ぎきれないため、不審な連絡への対応方法や、正規の連絡との見分け方について定期的なトレーニングを実施することが推奨されます。
まとめ
Mandiantが報告したShinyHuntersスタイルの攻撃は、ボイスフィッシングと偽サイトを組み合わせた高度な手法でMFAを突破し、SaaSプラットフォームを侵害するという深刻な脅威です。従来のセキュリティ対策だけでは防ぎきれない攻撃であり、FIDO2認証の導入や従業員教育の強化など、多層的な防御策が求められます。セキュリティ担当者は最新の脅威動向を把握し、組織の防御体制を継続的に見直していくことが重要です。
📎 元記事: https://thehackernews.com/2026/01/mandiant-finds-shinyhunters-using.html
コメント