Salesforceの顧客を標的とした継続中のデータ恐喝キャンペーンが、間もなく金融サービス企業に目を向ける可能性があると、セキュリティ専門家が警告しています。
悪名高いShinyHuntersグループは、ファッション業界(LVMH、Chanel、Pandora、Adidas)や航空業界(カンタス航空、エールフランス-KLM)などの大手企業に影響を及ぼす一連のデータ侵害の原因とされています。これらの被害者は通常、Salesforceアカウントへのログイン情報を得るためのビッシング(音声フィッシング)攻撃の標的となり、同様の目的で悪意のあるアプリをダウンロードするよう騙されることもあります。
しかし、ReliaQuestは本日、グループの攻撃に使用されたフィッシング用ドメイン名の分析から、標的の変化が見られると述べました。
ShinyHuntersに関する詳細:Googleも被害に 継続中のSalesforceデータ窃取キャンペーン
「2025年7月以降、金融企業を標的としたドメイン登録が12%増加し、テクノロジー企業を標的としたものは5%減少しています」と脅威インテリジェンス企業は述べています。
「この変化は、ShinyHuntersのような金銭目的のグループが現在、銀行、保険会社、金融サービスを優先して標的にしていることを示唆していますが、テクノロジーやプロフェッショナルサービスも、提供するデータやアクセスの価値が高いため、依然として高いリスクにさらされています。」
これらのドメインのうち約700件が2025年に登録されており、キャンペーンの規模を示しています。
ShinyHuntersとScattered Spiderは同一なのか?
さらに、「company-okta[.]com」や「companyname-my-salesforce[.]com」など、多くのドメインが悪名高いScattered Spider集団が使用したものと同じ形式であるとReliaQuestは述べています。多くが同じレジストリ情報を共有しており、両グループがつながっている可能性を示唆しています。
この説は、昨年BreachForumsに「Sp1d3rhunters」と名乗るユーザーが登場し、両グループが「同一である」と主張したとされることでも裏付けられています。
両グループは、「The Com」と呼ばれる曖昧なムーブメントとも関係があり、これは英語を話す10代や若い成人(主に男性)が、雇われ暴力、セクストーション、オンライン児童虐待にも手を染めていることで特徴づけられています。
ReliaQuestは、次の被害者にならないために企業のセキュリティチームが注目すべきは、どのグループが攻撃しているかではなく、戦術・技術・手順(TTPs)であると述べています。
「脅威アクターはインフラを常に入れ替え、名前を変え、TTPsを適応させて検知を回避し、影響を最大化します。そのため、これらのキャンペーンの背後にある行動パターンや進化するTTPsを追跡することは、インジケーター・オブ・コンプロマイズ(IOCs)や帰属だけに注目するよりもはるかに価値があります」と同社は主張しています。
「セキュリティリーダーにとって、この流動的で持続的な脅威環境を理解することは、今後の攻撃を予測し、セキュリティ戦略やリソース配分について情報に基づいた意思決定を行う上で極めて重要です。」
翻訳元: https://www.infosecurity-magazine.com/news/financial-services-next-line/