サイレント・ランサム・グループ(SRG)は、ソーシャルエンジニアリング手法と、サイバー犯罪者としては異例の戦術を用いて法律事務所を標的にしている。FBIの警告によると、その戦術とはITスタッフを装って被害者のオフィスに直接姿を現すというものだ。
Luna Moth、Chatty Spider、UNC3753とも呼ばれるこのグループは、少なくとも2022年から活動しており、保険、金融、医療など複数の業界の企業を標的にしてきたが、法律事務所が依然として主な標的となっている。
FBIによると、SRGの攻撃者は電話とフィッシングメールを使って、被害者のIT部門の従業員を装う。フィッシングメールはターゲットを偽のITサポートへ誘導し、電話では従業員にリモートデスクトップセッションを開かせてシステムへのアクセスを許可させるよう圧力をかける。
それらの試みが失敗した場合、SRGは脅威アクターを企業のオフィスに送り込み、デバイスへの物理的なアクセスを試みる。その人物は、フィッシングメールに関連する問題の可能性があるため、バックアップの作成またはシステムのイメージ化が必要だと称し、ストレージデバイスをコンピュータに挿入する。
被害者のデバイスへのアクセスを獲得した後、SRGはデータを窃取し、そのデータをリークサイトで売却または公開すると脅す恐喝メールを送りつけて被害者に身代金を要求する。また、このグループは被害組織の従業員やクライアントに電話をかけ、身代金交渉を開始するよう圧力をかける。
これまでに逮捕者が出ていないため、FBIは被害者のオフィスに現れる人物がグループのメンバーなのか、その特定の任務のためだけに雇われた人物なのかを明らかにしていない。
今回の最新のFBIアラートは、2025年5月に発出された民間業界向け通知に続くものであり、その通知ではSRGが2年以上にわたりコールバックフィッシングおよびソーシャルエンジニアリングキャンペーンを通じて米国の法律事務所を標的にし続けていると警告していた。
「最近のSRGキャンペーンは、侵害されたマシン上にほとんど痕跡を残さなかった。SRGは一般的に正規のシステム管理ツールやリモートアクセスツールを使って攻撃を実行するため、従来のウイルス対策製品も侵入を検知できない可能性が高い」と、FBIのアラートには記されている。
SRGの攻撃を防ぐため、FBIは組織に対し、社内ITサポートを名乗る人物がいた場合、企業システムへのリモートまたは物理的なアクセスを許可する前に身元を確認するよう勧告している。また同機関は、コールバックフィッシングやソーシャルエンジニアリングの試みを識別するための従業員トレーニングの実施、多要素認証(MFA)の使用、未承認のリモートアクセスツールの制限、パスワードリセットやアクセス申請に使用されるヘルプデスク手順の見直しを各企業に促している。
翻訳元: https://www.helpnetsecurity.com/2026/05/27/fbi-silent-ransom-group-law-firms-social-engineering/
