ShinyHunters の脅威活動が拡大:クラウド基盤を狙う新たな恐喝オペレーションの実態

Google Uncovered Significant Expansion in ShinyHunters Threat Activity with New Tactics

2026/02/02 CyberSecurityNews — ShinyHunters 脅威グループは、複数の組織にまたがるクラウド基盤システムを標的とした高度かつ洗練された攻撃手法を用い、恐喝オペレーションを拡大している。これらのサイバー犯罪者は、音声フィッシングおよび偽の資格情報収集 Web サイトを利用して従業員から資格情報を窃取し、アクセス権を取得した後、クラウド・アプリケーションから機微なデータを抽出し、その情報を用いて被害企業に身代金の支払いを要求する。

この脅威グループは、企業のログイン・ページを精巧に模倣するフィッシング Web サイトを作成し、疑念を抱かない従業員からシングル・サインオン資格情報/多要素認証コードを取得する。通常、この攻撃者は IT スタッフを装って従業員に電話をかけ、企業がセキュリティ設定を更新していると偽り、不正 Web サイトへと誘導し、ログイン資格情報を窃取する。この手法は、人的な操作と技術的な欺瞞を組み合わせている点で、きわめて高い有効性を示している。

Google Cloud のアナリストによると、これらの脅威活動は UNC6661/UNC6671/UNC6240 という 3 つの独立した脅威クラスターとして追跡されている。研究者たちが確認したのは、標的とするクラウド・プラットフォームの数と種類を拡大する脅威グループが、恐喝スキームにおける高価値のデータを狙っている点である。最近のインシデントでは、被害企業の従業員に対する嫌がらせや、企業 Web サイトへのサービス拒否攻撃などの、攻撃的な戦術の採用が示されている。

Attack path diagram (Source - Google Cloud)
Attack path diagram (Source – Google Cloud)

これらの攻撃は、ソフトウェア製品や IT インフラに存在する、セキュリティ脆弱性を悪用するものではない。その代わりに、ソーシャル・エンジニアリング手法を用いて人々を欺き、自発的に認証情報を提供させることで成功を収めている。セキュリティ専門家たちが強調するのは、FIDO2 セキュリティ・キー/Passkeys のようなフィッシング耐性を備えた認証方式を採用すべきという点だ。これらは、従来の SMS やプッシュ型認証システムとは異なり、ソーシャル・エンジニアリング手法では突破できないとしている。

攻撃メカニズムとデータ窃取オペレーション

脅威アクターは、companynamesso.com/companynameinternal.com といったパターンを用いて、正規の企業ポータルを装う偽ドメインを登録し、フィッシング Web サイトを正規のものに見せかける。従業員の資格情報を取得した攻撃者は、自身の認証用デバイスを登録することで、被害アカウントへの永続的なアクセスを維持する。

その後に、企業クラウド環境内に含まれる、SharePoint/Salesforce/DocuSign/Slack などのプラットフォームへと移動してデータを窃取する。サイバー犯罪者は、クラウド・アプリケーション内において、confidential/internal/proposal/vpn といった用語を含むドキュメントを重点的に探索する。

Ransom note (Source - Google Cloud)
Ransom note (Source – Google Cloud)

一部のインシデントで確認されたのは、Google Workspace アカウント内で ToogleBox Recall のような特別なツールを有効化し、セキュリティ通知メールを恒久的に削除することで、従業員による不正なアカウント・アクセスの検知を防ぐという行為である。目的のデータを窃取した攻撃者は、72 時間以内の Bitcoin での支払いを要求する恐喝メールを送信し、主張の証拠としてファイル共有プラットフォーム上にホストされた窃取情報のサンプルを提示する。

この問題の背景にあるのは、ソフトウェアの欠陥ではなく、人間の心理を巧みに操るソーシャル・エンジニアリングにより、正当な認証情報が攻撃者の手に渡ってしまうという要因です。具体的には、IT 担当者を装う偽の電話や、本物と見分けがつかないログイン画面を通じて、従業員から ID/Password や多要素認証 (MFA) コードなどを聞き出す手口が使われました。この問題の原因は、従来の SMS やプッシュ通知を利用する認証方式が、こうした “騙しのテクニック” に対して無防備であった点にあります。一度、ログインを許すと、攻撃者は自分のデバイスを正規のものとして登録し、社内のクラウド・サービスを自由に探索して機密情報を盗み出します。技術的な壁を乗り越えるのではなく、信頼を悪用して正面玄関から鍵を開けさせる手法が、被害を大きくした要因です。よろしければ、ShinyHunters での検索結果も、ご参照ください。