ジングル・シーフ・サイバー犯罪グループ

Jingle Thiefは、金銭目的のサイバー犯罪集団です。ギフトカードを発行する組織が利用するクラウド環境を標的とした、目立たない攻撃を仕掛けるため、研究者は追跡を続けてきました。ギフトカードは個人情報をほとんど必要とせず、転売も容易なため、発行ワークフローを侵害することで、迅速かつ追跡困難な現金化が可能になります。このグループの活動は、長い潜伏期間、綿密な偵察活動、そして従来のマルウェアよりもIDの不正利用を優先する点が特徴で、これらの要素が組み合わさって検知と対応を困難にしています。

彼らは誰なのか、そして研究者たちは彼らを何と呼ぶのか

セキュリティアナリストは、この活動クラスターをCL-CRI-1032と名付けています。このクラスターは、犯罪的動機（CRI）によって駆動されるクラスター（「CL」）として分類されます。中程度の確信度で行われたアトリビューション評価では、この活動は、Atlas LionおよびStorm-0539として追跡されている犯罪グループと関連していることが示されています。これらのグループはモロッコを拠点とし、少なくとも2021年後半から活動していると考えられています。「Jingle Thief（ジングル・シーフ）」というニックネームは、ギフトカードの需要と発行者への圧力が高まるホリデーシーズンに攻撃を行うこのグループの習性を反映しています。

主な目的と被害者のプロフィール

Jingle Thiefは、クラウドプラットフォームでギフトカードの発行を管理する小売・消費者サービス組織をターゲットにしています。彼らの最終目的は単純明快です。高額ギフトカードの発行に必要なアクセスを取得し、それらのカードを収益化することです（通常はグレーマーケットでの転売を通じて）。彼らは、フォレンジック上の痕跡を最小限に抑えながら、大規模な発行を行えるアクセスを優先しています。

戦術、技術、手順（TTP）

Jingle Thief は、特注のマルウェアを開発するのではなく、ソーシャル エンジニアリングとクラウド ID の不正利用に依存しています。

• 認証情報の窃取：このグループは、Microsoft 365 の認証情報を窃取するために、カスタマイズされたフィッシングおよびスミッシング攻撃キャンペーンを展開します。メッセージは事前の偵察後に高度にカスタマイズされ、クリックスルー率と認証情報の送信率を高めるために IT 部門からの通知やチケット更新を模倣することがよくあります。
• 個人情報の不正利用となりすまし：認証情報が盗まれると、攻撃者はログインし、正規ユーザーになりすまして発行アプリや機密文書にアクセスします。攻撃者は、エンドポイントでの目立たない攻撃を意図的に避け、クラウドネイティブアカウントの不正利用を狙います。
• 偵察と横方向の移動: 最初のアクセス後、クラウド資産をマッピングし、SharePoint、OneDrive、VPN ガイド、スプレッドシート、ギフト カードの発行や追跡に使用される内部ワークフローを調査します。その後、権限を昇格し、クラウド アカウントとサービス間を横方向に移動します。

永続性とMFAバイパス戦略

Jingle Thiefは長期にわたって（数か月から1年以上）活動拠点を維持します。確認されている持続的な活動手法には、受信トレイへの転送ルールの作成、送信したフィッシングメッセージを痕跡を隠蔽するために即座に削除済みアイテムに移動すること、不正な認証アプリの登録、攻撃者のデバイスをEntra IDに登録することなどがあります。これらの活動により、グループはパスワードのリセットやトークンの失効を回避し、迅速にアクセスを回復することができます。

運用パターンと規模

研究者らは、2025年4月から5月にかけて、世界中の複数の企業を標的とした協調的な攻撃の急増を観察しました。ある攻撃キャンペーンでは、攻撃者は約10か月間アクセスを維持し、単一の被害者環境で約60のユーザーアカウントを侵害したと報告されています。攻撃者はギフトカード発行ポータルを直接標的とすることが多く、ログやフォレンジックメタデータを最小限に抑えながら、複数のプログラムにまたがってカードを発行していました。

ギフトカード詐欺が魅力的な理由

ギフトカードは、最小限の識別データで換金または転売でき、発行ワークフローは金融決済システムよりも厳格に監視されていないことが多いため、詐欺師にとって魅力的です。攻撃者がこれらのワークフローへのクラウドアクセスを獲得すると、防御側が追跡しにくい監査証跡を残しながら、詐欺行為を迅速に拡大することができます。

侵害の兆候

• 受信トレイルールが予期せず作成され、外部アドレスに自動的に転送される。
• Entra ID における新しい認証子の登録または予期しないデバイスの登録。
• 高額ギフトカードの発行が急増したり、通常の営業時間外での発行が増加したりします。
• ギフト カード ワークフロー、スプレッドシート、または VPN/IT 管理ガイドを保存する SharePoint/OneDrive の場所へのアクセス。
• 通常のユーザー行動と一致しない、異なる地理的位置または不明な IP からの複数のメールボックス ログイン。

推奨される防御コントロール

• フィッシング耐性のある MFA (パスキー/FIDO2) を適用し、リモートで登録できる弱い 2 番目の要素をブロックします。
• ID 衛生を強化します。従来の認証を無効にし、条件付きアクセス ポリシーを要求し、管理には特権アクセス ワークステーションを使用します。
• メールボックス転送ルール、新しい認証子/デバイスの登録、ギフトカード発行アプリケーションへの異常なアクセスを監視し、警告します。

最終評価

Jingle Thiefは、綿密な偵察活動、巧妙なアカウント不正利用、長い滞在時間、そしてMFAバイパス技術を巧みに組み合わせているため、ギフトカードを発行するあらゆる組織にとって、非常に危険な攻撃者です。このグループは、目立たないエンドポイントのエクスプロイトではなく、クラウドのIDとサービスの機能を活用するため、検出には、綿密なID監視、厳格なMFAポリシー、そして発行ワークフローを保護するための適切な管理体制が必要です。これらの防御策を優先することで、攻撃者がひそかにカードを発行し、換金して姿を消す機会を減らすことができます。