サイバー犯罪集団「Scattered LAPSUS$ Hunters(SLH)」が、ITヘルプデスクを標的としたボイスフィッシング(ビッシング)攻撃の実行者として女性を積極的に勧誘していることが明らかになりました。1回の通話あたり500〜1,000ドル(約7.5万〜15万円)の報酬を提示し、事前に用意されたスクリプトまで提供するという、組織的かつ巧妙な手口が注目を集めています。脅威インテリジェンス企業Dataminrの最新レポートで詳細が報告されました。
この記事のポイント
- SLHがビッシング攻撃の成功率向上のため、女性を高額報酬で勧誘している
- ITヘルプデスクを標的に、MFA(多要素認証)バイパスやパスワードリセットを狙う
- MFAプロンプト爆撃、SIMスワッピング、ランサムウェア展開など高度な攻撃能力を保有
SLHの勧誘手口と狙い
SLHは、ソーシャルエンジニアリングの実行者プールを多様化する戦略の一環として、特に女性をビッシング攻撃の担い手として勧誘しています。Dataminrは「SLHが女性を特に勧誘しているのは、ヘルプデスクへのなりすまし成功率を高めるためと考えられる」と分析しています。
この戦略の背景には、IT部門のスタッフが従来の攻撃者プロファイル(男性の声による不審な問い合わせ)を警戒する傾向があり、女性の声を使うことでその警戒網をすり抜けようという意図があります。報酬は1通話あたり500〜1,000ドルと高額で、さらに事前に作成されたスクリプト(台本)も提供されるため、技術的知識がなくても攻撃に加担できる仕組みが整えられています。これは犯罪の「サービス化(Crime-as-a-Service)」がさらに進化した形態と言えるでしょう。
攻撃の具体的な手法
SLHのビッシング攻撃は、ITヘルプデスクの担当者を標的にしたソーシャルエンジニアリングが中核です。攻撃者は従業員になりすまし、以下のような要求を行います。
- パスワードリセットの依頼: 正規の従業員を装い、アカウントのパスワードリセットを要求
- リモート監視ツールのインストール依頼: 遠隔操作ツールの導入を依頼し、システムへの初期アクセスを確立
- MFA(多要素認証)のバイパス: ヘルプデスク経由でMFAを無効化または迂回
初期アクセスを獲得した後、SLHは仮想化環境内でのラテラルムーブメント(横方向の移動)、権限昇格、データの窃取、さらにはランサムウェアの展開まで行う能力を持っています。また、Luminati(現Bright Data)やOxyLabsなどのレジデンシャルプロキシを利用して通信元を隠蔽し、Ngrok・Teleport・Pinggyといったトンネリングツールで検知を回避するなど、高度な技術基盤を有しています。
企業が取るべき防御策
この脅威に対して、組織は以下の防御策を講じることが推奨されています。
ヘルプデスクの強化が最優先です。 まず、ヘルプデスクスタッフに対して、事前に作成されたスクリプトを使った問い合わせを識別するトレーニングを実施すべきです。定型的すぎる問い合わせや、不自然に滑らかな説明には注意が必要です。
本人確認手順の厳格化も不可欠です。 パスワードリセットやMFA関連の操作には、複数の本人確認ステップ(上長確認、コールバック、物理的な社員証確認など)を設けるべきです。電話一本での対応を排除することが重要です。
SMS認証の廃止を検討しましょう。 SLHはSIMスワッピング技術も保有しているため、SMS(ショートメッセージ)ベースの認証は危険です。FIDO2セキュリティキーや認証アプリへの移行が推奨されます。
監査ログの定期確認も重要です。 ヘルプデスクへの問い合わせ後に不審な権限昇格が発生していないか、ログを定期的に監査する体制を構築しましょう。
知っておくと便利なTips
- ビッシング(Vishing)とは「Voice + Phishing」の造語で、電話を使ったフィッシング詐欺のこと。メールのフィッシングよりも心理的圧力が強く、成功率が高い傾向がある
- SLHはScattered Spider(別名UNC3944、Octo Tempest)と関連があるとされる脅威グループで、2023年のMGMリゾーツ攻撃などで知られる系統の犯罪集団
- ヘルプデスクを狙った攻撃は近年急増しており、CISAも2024年以降繰り返し警告を発している
- 「Crime-as-a-Service」モデルの進化により、技術的スキルを持たない人材でもサイバー攻撃に加担できる環境が整いつつある
まとめ
SLHによる女性勧誘戦略は、サイバー犯罪がますます組織化・分業化していることを如実に示しています。高額報酬と既製スクリプトの提供により、技術的バックグラウンドを持たない人材までもが攻撃の実行者として取り込まれるリスクが現実のものとなりました。特にITヘルプデスクは「人間の脆弱性」を突かれやすいポイントであり、技術的対策だけでなく、人的な防御体制の強化が急務です。日本企業においても、ヘルプデスクの本人確認プロセスの見直し、SMS認証からの脱却、そしてソーシャルエンジニアリングに対する意識向上トレーニングの実施が求められます。
📎 元記事: https://thehackernews.com/2026/02/slh-offers-5001000-per-call-to-recruit.html
コメント