2026年1月、サイバーセキュリティの世界は、新たな脅威の波に直面しました。Scattered Spider、LAPSUS$、ShinyHuntersという悪名高いグループが結託し、「SLSH」と称される悪意ある「スーパーグループ」を形成。この連合体は、100を超える高価値企業を標的とし、Oktaをはじめとするシングルサインオン(SSO)プラットフォームアカウントへの大規模なID窃取キャンペーンを展開しています。これは単なる自動化された攻撃ではなく、高度な人間主導型ビッシング(ボイスフィッシング)作戦であり、強固な多要素認証(MFA)設定すら迂回するよう設計されています。
Silent Pushの分析によると、SLSHは「The Com」エコシステムから出現し、Scattered Spiderのソーシャルエンジニアリングの専門知識とLAPSUS$の恐喝モデルを融合させています。彼らは、企業のIDプロバイダーを狙う洗練された初期アクセス戦略を確立しました。この攻撃の中心にあるのは、新しい「ライブフィッシングパネル」の利用です。これにより、攻撃者はログインセッションの途中に割り込み、リアルタイムで認証情報とMFAトークンを傍受し、企業ダッシュボードへの即時かつ永続的なアクセスを獲得します。この手口は、従来のセキュリティ対策を容易にすり抜けるため、企業にとって極めて深刻な脅威となっています。
標的は100以上の企業:SSOを狙う狡猾な手口
この大規模なキャンペーンでは、テクノロジー、フィンテック、バイオテクノロジー、金融サービス、不動産、インフラ、ヘルスケア、人事テクノロジー、ロジスティクス、製造、小売、保険、法務、メディア、教育、ホスピタリティ、電気通信など、多岐にわたる業界の企業が標的となっています。Silent Pushが過去30日間に検出しただけでも、Atlassian、Canva、Epic Games、HubSpot、ZoomInfo、Adyen、Moderna、Biogen、RBC、State Street、CBRE、Zillow、AECOM、Sempra Energy、GoodRx、TriNet、Pitney Bowes、Ball Corp、Amway、GameStop、Telstraなど、枚挙にいととまがありません。
攻撃者は、被害者ブランドの認証情報収集サイトと巧妙なビッシングを組み合わせることで、従業員を欺き、SSO認証情報とMFAコードを盗み出します。Google Threat Intelligence Group(GTIG)が追跡する脅威クラスターUNC6661は、ITスタッフを装って標的企業の従業員に電話をかけ、MFA設定の更新を口実に偽のログインページへ誘導しました。これらの認証情報収集ドメインは、通常「<会社名>sso.com」や「<会社名>internal.com」といった形式を使用し、NICENICなどのレジストラで登録されていることが確認されています。
一度SSOセッションが乗っ取られると、攻撃者は環境内のあらゆるアプリケーションへの「マスターキー」を手に入れたも同然です。これは、単一の認証情報で複数のサービスにアクセスできるSSOの利点を悪用したもので、企業全体に壊滅的な影響を及ぼす可能性があります。攻撃者は、この初期アクセスを利用して、内部コミュニケーションツール(SlackやTeamsなど)に侵入し、より高い権限を持つ管理者へのソーシャルエンジニアリングを仕掛けることもあります。この手口は、人間の心理を巧みに操るScattered Spiderの専門知識が色濃く反映されています。
脅威グループの進化と連携:SLSH、UNC6661、UNC6671の実像
SLSHは、Scattered Spiderのソーシャルエンジニアリング能力、LAPSUS$の恐喝モデル、そしてShinyHuntersのデータ窃取とリークの専門知識を組み合わせた、まさに「スーパーグループ」と呼ぶにふさわしい存在です。彼らは、従来のサイバー犯罪グループの枠を超え、高度な技術と人間的な欺瞞を融合させることで、前例のないレベルの脅威を生み出しています。Silent Pushは、このグループのTTP(戦術、技術、手順)を模倣したインフラ展開の急増を特定しており、その活動の活発さを示唆しています。
一方、MandiantとGoogle Threat Intelligence Groupは、ShinyHuntersブランドの恐喝活動に合致するTTPを使用する脅威活動の拡大を追跡しており、これを複数の脅威クラスター(UNC6661、UNC6671、UNC6240)として分類しています。UNC6661とUNC6671は、初期アクセスにビッシングと認証情報収集サイトを利用するという点で共通していますが、ドメインレジストラや恐喝メールのブランディング、交渉に使用するTox IDなどに違いが見られます。これらの違いは、活動に関与する個々人の分離を示唆している可能性もあります。
UNC6661は、2026年1月中旬にかけて、Okta顧客アカウントへのアクセスを獲得した事例が報告されています。彼らは、従業員を偽のMFA更新ページに誘導し、SSO認証情報とMFAコードを窃取した後、自身のデバイスをMFAに登録するという手口を用いていました。この活動は、IDプロバイダーや仮想通貨プラットフォームを標的とするフィッシングキットに関するOktaの報告とも一部重複しており、複数の脅威クラスターが関与している可能性が指摘されています。
侵入後の巧妙な動き:SaaSデータ窃取と痕跡消去
初期アクセスを確立した後、攻撃者は被害企業のクラウドベースのSaaSアプリケーションに侵入し、機密データや内部通信を窃取します。UNC6661は、SharePoint、Salesforce、Docusign、Slackなど、様々なSaaSプラットフォームからデータを持ち出しました。彼らの標的は、特定の組織やユーザーIDに対して意図的であるものの、その後のプラットフォームへのアクセスは、侵害されたSSOセッションを通じてアクセス可能な特定の権限やアプリケーションによって、機会主義的に決定されることが多いと分析されています。
データ窃取の際、攻撃者は「poc」「confidential」「internal」「proposal」「salesforce」「vpn」といった特定のキーワードを含む文書や、Salesforceに保存されている個人識別情報(PII)を検索するなど、特定の種類の情報を狙う傾向が見られました。さらに、UNC6661は、あるOkta顧客アカウントにアクセスした後、被害者のGoogle Workspaceアカウント向けに「ToogleBox Recall」アドオンを有効化し、Oktaからの「Security method enrolled」というMFA登録通知メールを削除しました。これは、従業員が新しいMFAデバイスがアカウントに関連付けられたことを特定するのを防ぐための、巧妙な痕跡消去の試みです。
また、UNC6661は、窃取したメールアカウントを利用して、仮想通貨関連企業の関係者に追加のフィッシングメールを送信し、その後、発信メールを削除して悪意ある活動を隠蔽しようとしました。UNC6671も同様に、PowerShellを利用してSharePointやOneDriveから機密データをダウンロードした証拠が確認されています。これらの手口は、攻撃者が単にデータを盗むだけでなく、その後の活動を隠蔽し、さらなる攻撃の足がかりを築こうとする高度な戦略を持っていることを示しています。
エスカレートする恐喝戦術:データリークサイトとDDoS攻撃
SLSHおよびShinyHunters関連の脅威アクターは、データ窃取後、LAPSUS$の戦術を踏襲し、迅速なデータ持ち出しと公開恐喝を優先します。UNC6661による侵入後の恐喝活動は、UNC6240に帰属するとされており、交渉に共通のToxアカウントを使用し、ShinyHuntersブランドの恐喝メールを送信し、盗んだデータのサンプルをLimewireでホストするといった複数の重複が見られます。2026年1月中旬の恐喝メールでは、UNC6240は窃取したとされるデータの詳細、要求する支払い額、ビットコインアドレスを提示し、72時間以内に身代金が支払われない場合の脅迫的な結果を明記していました。
さらに、これらの脅威アクターは、恐喝戦術をエスカレートさせています。被害企業の従業員に恐喝のテキストメッセージを送信したり、被害企業のウェブサイトに対して分散型サービス拒否(DDoS)攻撃を仕掛けたりする報告も受けています。特に注目すべきは、2026年1月下旬に「SHINYHUNTERS」という新しいShinyHuntersブランドのデータリークサイト(DLS)が出現し、最近の恐喝作戦で侵害されたとされる複数の被害者がリストアップされたことです。このDLSには、以前UNC6240に関連付けられていた連絡先情報(shinycorp@tutanota[.]com、shinygroup@onionmail[.]com)も掲載されており、脅威アクターの活動が組織的かつ継続的であることを示唆しています。
UNC6671による侵入後の恐喝戦術もまた攻撃的であり、被害者従業員への嫌がらせが含まれていました。これらのエスカレートする戦術は、単なるデータ窃取に留まらず、企業とその従業員に心理的、運用的な圧力をかけることで、身代金支払いを強制しようとする明確な意図があることを示しています。脅威アクターは、被害組織の弱点を徹底的に突き、あらゆる手段を用いて目的を達成しようとしているのです。
広がる被害の波紋:多岐にわたる標的業界と防御の課題
SLSHおよびShinyHunters関連の攻撃キャンペーンは、その標的の広範さにおいて特筆すべきです。Silent Pushが特定しただけでも、テクノロジー、金融、バイオテクノロジー、不動産、エネルギー、ヘルスケア、小売、保険、法務など、あらゆる主要産業の100以上の組織が狙われています。この広範な標的リストは、攻撃者が特定の業界に限定されず、SSOやSaaSプラットフォームを利用するあらゆる企業が潜在的な被害者となり得ることを明確に示しています。彼らは、企業の規模や業種に関わらず、初期アクセス戦略が有効であれば攻撃を仕掛ける機会主義的なアプローチを取っていると考えられます。
これらの攻撃は、ベンダー製品やインフラのセキュリティ脆弱性によるものではないという点が重要です。むしろ、ソーシャルエンジニアリングの有効性を浮き彫りにしており、従業員を欺く人間の要素が防御を突破する主要な手段となっています。標準的なセキュリティ意識向上トレーニングは、このような高度に説得力のあるビッシングキャンペーンを阻止するには不十分であることが多く、攻撃者はヘルプデスクや従業員に電話をかけながら、被害者のログインプロンプトに合わせてライブフィッシングページを操作するという、非常に巧妙な手口を用います。
この状況は、企業が直面するセキュリティ上の課題が、技術的な防御だけでなく、人間の脆弱性に対処することにも及んでいることを示しています。攻撃者は、従業員の信頼を悪用し、緊急性や権威を装って情報を引き出します。SSOの乗っ取りは、攻撃者に環境内のすべてのアプリケーションへの「マスターキー」を与えるため、データ窃取、データ暗号化、そしてLAPSUS$の戦術に従った恐喝へと容易に移行します。この広範な被害の波紋は、現代のサイバー脅威がどれほど複雑で多層的であるかを物語っています。
喫緊の対策:フィッシング耐性MFAと脅威インテリジェンスの活用
このような高度なビッシング攻撃から組織を保護するためには、単一の防御策に頼るのではなく、多層的なアプローチが不可欠です。まず、組織は従業員とカスタマーサポートに対し、現在進行中のSLSH攻撃について警告を発する必要があります。不審なメッセージ、電話、メールを受け取った場合は、直ちに上司やセキュリティチームにエスカレートするよう徹底することが、予期せぬビッシングキャンペーンの成功を防ぐ最善の方法です。
次に、Oktaシステムやその他のSSOプロバイダーのログを緊急に監査し、「新しいデバイスが登録されました」というイベントの直後に、見慣れないIPアドレスからのログインがないかを確認することが重要です。これにより、侵害の初期兆候を迅速に特定し、対応することができます。さらに、Silent Pushが推奨するように、ビッシングコールが始まる前にDNSレベルで攻撃対象領域を特定する「攻撃前インテリジェンス」を展開することも有効です。Silent PushのIOFA™(Indicators of Future Attack™)フィードを利用することで、悪意のあるなりすましドメインが稼働する前にブロックすることが可能になります。
最も効果的な防御策の一つは、フィッシング耐性のあるMFA(多要素認証)への移行です。FIDO2セキュリティキーやパスキーのような方法は、プッシュベースやSMS認証とは異なり、ソーシャルエンジニアリングに対して耐性があります。Mandiantは、プロアクティブな強化と検出に関する包括的なガイドを公開しており、GoogleもGoogle Security Operations内でこれらの知見を運用化するための詳細なウォークスルーを提供しています。これらの対策を講じることで、企業はSLSHやShinyHuntersのような高度な脅威アクターによる攻撃のリスクを大幅に軽減し、デジタル資産と従業員を保護することができます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Special Alert: SLSH Malicious "Supergroup" Targeting 100+ Organizations via Live Phishing Panels - https://www.silentpush.com/blog/slsh-alert/
- -Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft | Google Cloud Blog - https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft