UNC6040 ヴィッシンググループ
サイバーセキュリティ研究者は、金銭目的の脅威グループ「UNC6040」の存在を明らかにしました。このグループは、ボイスフィッシング(ビッシング)キャンペーンにおいて確固たる地位を築いています。これらの攻撃は、Salesforce環境に侵入し、機密データを大規模に窃取し、窃取した情報を恐喝に利用することを目的として設計されています。
目次
見覚えのある顔:サイバー犯罪集団「The Com」へのリンク
UNC6040の戦術と行動は、緩やかなオンラインサイバー犯罪ネットワークであるThe Comとの関連性を示唆しています。また、このグループは、ITサポートのなりすましや認証情報の窃取で知られる同グループのもう一つのアクターであるScattered Spiderとも活動上の類似点があります。しかし、両者の最終目的は異なり、Scattered Spiderはより広範なアクセスを狙うのに対し、UNC6040はSalesforceデータの窃取を狙っています。
なりすましの実態:ヴィッシングの手口
このグループの成功の鍵は、非常に説得力のある電話を使ったソーシャルエンジニアリングにあります。UNC6040の攻撃者は、多くの場合流暢な英語を話すITサポート担当者を装い、従業員を操って認証情報を渡させたり、企業システムへの不正アクセスを容易にする行為を実行させたりします。
信頼を悪用する:Salesforceデータローダーの修正スキーム
目立った手口の一つは、被害者に「My Ticket Portal」といった誤解を招くような名前で偽装されたSalesforceのデータローダーの改変版を承認させるというものです。これにより、攻撃者はSalesforceの接続アプリインターフェースにアクセスし、プラットフォーム内から膨大な量の顧客データを盗み出すことができます。
Salesforceを超えて:横展開とより広範な悪用
UNC6040は一度侵入すると、Salesforceだけにとどまりません。攻撃者はネットワーク全体を横断的に攻撃し、Okta、Workplace、Microsoft 365といった他のクラウドプラットフォームからもデータを収集します。これにより、より広範な侵害が可能になり、窃取した情報の価値が高まります。
遅延報酬:戦略的な恐喝戦術
興味深いことに、恐喝の試みは最初の侵入から数ヶ月後に行われることが多く、意図的な戦略的な遅延が示唆されています。これらの要求には、悪名高いハッカー集団「ShinyHunters」とのつながりを主張する内容が添えられることもあり、これは被害者への心理的圧力を強めることを意図したものと考えられます。
偵察第一:自動電話監視によるフィッシング攻撃
UNC6040は、録音されたメッセージとメニューオプションを備えた自動電話システムも活用して偵察活動を行っています。これらのシステムからは、社内サポート番号、従業員が抱えるよくある問題、アプリケーション名、システムアラートなどが明らかになります。これらは、説得力のあるフィッシングシナリオを作成する上で重要な情報となります。
リモートワーク時代のソーシャルエンジニアリング
グループは、従業員が慣れ親しんだサポート担当者とのやり取りに慣れているリモートITサポートへの移行から恩恵を受けています。この環境は、特に徹底的な偵察と組み合わせることで、欺瞞的なソーシャルエンジニアリングを行うための理想的な条件を作り出します。
Salesforceの対応と顧客への警告
Salesforceは2025年3月にこれらの攻撃を認め、IT担当者を装ったソーシャルエンジニアリング攻撃について顧客に注意を促しました。攻撃者は、ユーザーをフィッシングページに誘導したり、login.salesforce[.]com/setup/connectに誘導して悪意のある接続アプリ(通常は偽装されたデータローダーの改変版)を承認させようとしていました。
システムの脆弱性なし:人間の弱点を悪用する
Salesforceは、これらのインシデントはシステムの技術的な脆弱性ではなく、ユーザーによる操作に起因するものであることを強調しました。これらの攻撃は、個人の意識とサイバーセキュリティの衛生管理が、特に音声フィッシング詐欺に対する防御策として依然として重要であることを改めて示しています。
持続的な脅威:未来への警告
UNC6040が用いた戦術は、ヴィッシングが依然として企業の防御を突破する非常に効果的な手段であることを示しています。最初のアクセスから恐喝までの時間差を考えると、今後数週間から数ヶ月の間に、より多くの組織が危険にさらされる可能性があります。この進化する脅威を軽減するには、警戒と強固な内部統制が鍵となります。
