ShinyHunters – IoT OT Security News

Salesforce に浮上した Gainsight OAuth 関連の情報漏洩の可能性：ShinyHunters による犯行か？

Salesforce alerts users to potential data exposure via Gainsight OAuth apps

2025/11/21 SecurityAffairs — Salesforce が警告するのは、Gainsight にリンクされた OAuth アプリの異常なアクティビティに関する情報であり、これらの連携を悪用する脅威アクターが、一部のユーザーの Salesforce データに不正アクセスした可能性があるとしている。同社が公開した通知には、「Salesforce に接続された Gainsight の公開アプリケーションに関する異常なアクティビティを、我々は確認した。これらのアプリケーションは、ユーザー側が直接インストールし管理している。調査の結果が示すのは、Gainsight アプリ接続におけるアクティビティにより、一部の顧客の Salesforce データへの不正アクセスが生じた可能性である」と記載されている。

ShinyHunters が立ち上げたデータリーク・サイト：Salesforce に関連する 39社を脅迫

ShinyHunters launches Salesforce data leak site to extort 39 victims

2025/10/03 BleepingComputer — 恐喝グループが新たなデータリーク・サイトを公開した。そこで彼らが公開しているのは、一連の Salesforce 情報漏洩への攻撃で盗み出したデータのサンプルであり、数十社に対して恐喝を行っている。これらの攻撃を実行した脅威アクターは、ShinyHunters／Scattered Spider／Lapsus$ の各グループに関与し、自身を Scattered Lapsus$ Hunters と称している。

ShinyHunters の活動を分析：音声フィッシングに特化した技術に AI 悪用が加わっている

New ‘shinysp1d3r’ Ransomware-as-a-Service Targets VMware ESXi in Ongoing Development

2025/09/18 gbhackers — AI を悪用する ShinyHunters が、ボイスフィッシング／サプライチェーン侵入に加えて、企業ネットワークへの直接アクセスを提供する従業員や請負業者といった悪意の内部関係者を介して、その活動を拡大していると、EclecticIQ のアナリストたちが高い確信を持って評価している。ShinyHunters は、小売／航空／通信などの業界で利用される SSO (single sign-on) プラットフォームへの、不正アクセスを提供するボイスフィッシング・キットを活用するために、Scattered Spider と The Com のメンバーに依存している可能性が高いとされる。

サイバー犯罪フォーラム BreachForums の突然の消失：MyBB の脆弱性との決別を主張

BreachForums Displays Message About Shutdown, Cites MyBB 0day Flaw

2025/04/28 hackread — BreachForums 投稿した PGP 署名付きのメッセージは、2025年4月の突然の閉鎖を説明するものだ。その管理者は、MyBB のゼロデイ脆弱性が、自身のサイトに影響を与えていることを理由に挙げ、差し押さえを否定し、復旧の計画とクローンの存在を警告している。2025年4月の初旬に、サイバー犯罪とデータ漏洩に関する著名フォーラムである BreachForums が、何の説明もなくインターネットから姿を消した。ハッカー集団 ShinyHunters が管理／所有するフォーラムは、終了の説明もなくオフラインとなり、法執行機関による差し押さえの可能性について、さまざまな憶測が飛び交った。

SendGrid の大規模データ侵害：848,000件の顧客データの窃取と販売を Satanic が主張

Hacker Claims Twilio’s SendGrid Data Breach, Selling 848,000 Records

2025/04/03 HackRead — Twilio 傘下のクラウド型メール配信プラットフォームである SendGrid で発生した大規模な情報漏えいについて、Satanic と名乗るハッカーが、自身の犯行だと主張している。サイバー犯罪者の人気プラットフォーム Breach Forums に、2025年4月3日に投稿された内容によると、Satanic は盗み出したとするデータを $2,000 で提供しており、その主張の裏付けとして、サンプル・データも公開している。

Cisco から盗まれた 4.5 TB のデータ：IntelBroker が第二弾のサンプル 4.84 GB を公開

Hackers Release Second Batch of Stolen Cisco Data

2024/12/27 HackRead — 2024年10月に発生した、Cisco のデータ・インシデントで盗まれたとされる第二弾のデータが、ハッカーにより公開された。この侵害を背後で操る IntelBroker によると、12月24日に Breach Forums で公開された最新リークには、盗み出されたとされる 4.5 TB のデータの一部である、4.84 GB 分が含まれているという。

IntelBroker による Cisco のデータ侵害：2.9GB のデータがダークウェブに流出

Hackers Leak Partial Cisco Data from 4.5TB of Exposed Records

2024/12/17 HackRead — 2024年12月16日に、ハッカー・グループである IntelBroker は、サイバー犯罪フォーラム Breach Forums において、Cisco のデータ 2.9GB を流出させた。IntelBroker の主張によると、それらのデータは、彼らが 2024年10月に Cisco から盗み出したデータの一部であるという。

AWS のミスコンフィグを狙うハッカーたち：分業化された犯罪シンジケートの存在

Hackers Exploit AWS Misconfigurations in Massive Data Breach

2024/12/10 InfoSecurity — ハッキング・グループ Nemesis／ShinyHunters と関連付けられる大規模なサイバー攻撃は、不適切にコンフィグレーションされた公開 Web サイトの脆弱性を悪用するものであり、顧客情報／インフラの認証情報／独自のソースコードといった、機密データの漏洩につながっている。独立系サイバー・セキュリティ研究者である Noam Rotem と Ran Locar によると、Amazon Web Services (AWS) の IP レンジ内で攻撃者たちは、脆弱なエンドポイントを標的とする大規模なインターネット・スキャンを組織化していたという。

AT&T で発生したデータ侵害：Snowflake データベースからデータが漏えいが原因

AT&T Breach Linked to American Hacker, Telecom Giant Paid $370k Ransom: Reports

2024/07/15 SecurityWeek — 先日に公表された、AT&T で発生したデータ流出は、トルコ在住のアメリカ人ハッカーが関与するものであり、盗まれた情報を確実に削除するために、同社は多額の身代金を支払ったようだ。7月12日に AT&T が公表したのは、同社における、ほぼ全てのワイヤレス顧客に影響が及ぶ、データ漏えいに見舞われたことである。同社によると、ハッキングによりデータが流出したのは、2022年5月1日〜2022年10月31日と、2023年1月2日移行の期間であり、その内容は顧客の call／text のログだという。データの流出元は、AT&T のサードパーティである、Snowflake のクラウド・プラットフォームだとのことだ。

MFA だけではクラウド・データ保護は無理：Snowflake 侵害から得るべき５つの教訓

Multifactor Authentication Is Not Enough to Protect Cloud Data

2024/06/22 DarkReading — UNC5537 として知られるサイバー犯罪者グループが、大暴れしている。この１ヶ月の間に、ShinyHunters または Scattered Spider に関連すると思われる身代金要求グループが、Ticketmaster から5億6000万件以上の顧客記録を盗み出し、5月28日に再構成されたリークサイト BreachForums に掲載し、$500,000 を要求した。その２日後に、このグループはスペインを拠点とする Santander Bank から 3,000万件の口座記録を盗んだと主張し、$2 million を要求している。そして、両社とも、このポストの後に情報漏えいを認めた。

AT&T のデータ侵害：サードパーティ・ベンダーがハッキングされた

AT&T is notifying millions of customers of data breach after a third-party vendor hack

2023/03/10 SecurityAffairs — AT&T が発表し内容は、同社のサードパーティー・ベンダーがハッキングされ、個人情報の一部が漏えいしたことを、数百万人の顧客に通知したというものだ。不正アクセスを受けた CPNI (Customer Proprietary Network Information) とは、顧客が購入した電気通信サービスに関連する情報のことであり、アカウントごとの回線数や顧客が加入しているワイヤレスプランなどのデータが含まれるという。

AT&T の 7000 万人分の顧客データが流出か？

AT&T denies data breach after hacker auctions 70 million user database

2021/08/20 BleepingComputer — AT&T は、7,000万人分の個人情報を含むデータベースを、著名な脅威アクターが販売していると述べた後に、データ漏えいの被害はなかったと発表した。昨日から、ShinyHunters と呼ばれる脅威アクターはハッキング・フォーラムで、このデータベースを、スタート価格は $200,000 で、増加分は $30,000 刻みで、販売を開始している。なお、このハッカーは、すべてを $1 million で販売するとも述べている。そこで共有されているサンプルによると、このデータベースには顧客の名前／住所／電話番号／社会保障番号／生年月日が含まれている。