BlackFile 恐喝グループの多層的な攻撃手法：小売／ホスピタリティ業界に対する vishing 攻撃

BlackFile Group Targets Retail and Hospitality with Vishing Attacks

2026/04/27 InfoSecurity — 2026年2月以降において、小売／ホスピタリティ業界を標的として活動する新たな恐喝グループの詳細が、セキュリティ研究者たちにより明らかにされた。Palo Alto Networks の Unit 42 は、RH-ISAC (Retail and Hospitality Information Security and Analysis Center) と共同で、2026年4月23日に “Extortion in the Enterprise: Defending Against BlackFile Attacks” を公開した。

このレポートでは、アクティビティ・クラスター CL-CRI-1116 に関連する金銭目的の攻撃活動を詳述している。このクラスターの活動は、BlackFile／UNC6671／Cordial Spider に関する既存の報告と重複しており、“The Com” として知られる集団との関連性が高いとされる。レポートには、「CL-CRI-1116 の攻撃者は、カスタム・マルウェアや専用ツールに依存せず、API や正規内部リソースを悪用することで、いわゆる Living off the Land (環境寄生型) を実践している」と説明されている。

BlackFile の初期侵入手法

通常の BlackFile は、 IT ヘルプデスクを装うビッシング攻撃を介して標的に接触する。 VoIP スプーフィングや偽 Caller ID により正体を隠蔽し、認証情報およびワンタイム・パスワードの窃取を試みる。その目的のために攻撃者は、正規の企業 SSO (single sign-on) ポータルを模倣するフィッシング・ページを悪用する。また、同グループは、アンチディテクト・ブラウザや住居用プロキシを介して地理的位置を隠蔽し、 IP ベースのレピュテーション・フィルターを回避している。

アクセス取得からデータ窃取まで

認証情報フィッシングによりアカウント・アクセスを取得した攻撃者は、新規デバイス登録を行い、多要素認証 (MFA) を回避した後に、持続的なアクセスを確保する。

このレポートには、「攻撃者は標準ユーザー・アカウントから高権限アカウントへと昇格しながらラテラル・ムーブメントを実行し、内部ディレクトリをスクレイピングして経営層の連絡先を収集する。さらに、ソーシャル・エンジニアリングにより上位アカウントを侵害し、正規セッションを模倣する広範かつ持続的なアクセスを確立する」と記されている。

ネットワーク侵入後の CL-CRI-1116 は、SaaS データ探索／API 悪用／SharePoint スクレイピングを実施する。“confidential” や “SSN” といったキーワード検索により、SharePoint や Salesforce 内の高価値データを特定する。

続いて攻撃者は、ブラウザまたは API エクスポートを通じてデータを直接外部へと送信し、Salesforce API や SharePoint の標準ダウンロード機能を悪用する。それにより、従業員電話番号の CSV データセットや機密ビジネスレポートなど大量のデータを攻撃者インフラへ転送する。

これらの活動は、正規の SSO セッションを装って実行されるため、単純な user-agent ベースの検知を回避するという。

恐喝手法と対策

このグループは、ランダムな Gmail アドレスや侵害済み従業員メールを利用して被害者に接触し、通常 7 桁規模の金銭を要求する。さらに、支払いを強要するために、C-Suite 幹部に対する SWAT-ing (警察への虚偽通報による物理的嫌がらせ) を実施する場合もある。

Unit 42 のレポートは、「これらの手法の成功率を低減するために、ユーザー組織に対して推奨されるのは、セキュリティ・ポリシーの強化／通話時における多要素を用いた本人確認プロセスの管理／共有可能情報の明確化／単一通話で実行可能な IT サポート範囲の制限である」と結論付けている。

また、「最前線の電話対応スタッフに対する、セキュリティ意識向上トレーニングや、シミュレーションベースの訓練も有効である。本人確認に対する曖昧な応答や、高圧的な即時対応の要求といった、ソーシャル・エンジニアリングの兆候を識別する能力の強化が重要である」と述べている。

訳者後書：この攻撃が提起する問題は、システムの脆弱性そのものよりも、人間の心理や正規の仕組みを巧みに悪用する点にあります。BlackFile は特定の CVE 番号が割り当てられるようなプログラムの欠陥を突くのではなく、IT ヘルプデスクを装ったビッシングや精巧なフィッシングサイトを通じて、私たちの信頼や善意を悪用します。一度認証情報を渡してしまうと、攻撃者は正規のユーザーとして振る舞い、API やクラウドサービスの標準機能を使って静かにデータを持ち去ってしまいます。このように、技術的な防御をすり抜けて “正規の操作” を装うことが、被害の拡大や検知の遅れを招く主な原因となっています。よろしければ、カテゴリー SocialEngineering も、ご参照ください。