セキュリティ
サイバー犯罪者がオフィスビルに堂々と侵入し、自分たちのUSBメモリを差し込むよう従業員を説得している実態が続く
FBIは、疑いを持たない弁護士たちに対し、長年にわたって活動する恐喝グループが依然として法律事務所を積極的に標的にし続けていると警告している。
Silent Ransom Group(SRG)はFBIの見解によれば2022年から活動しており、このグループに関する最新の警告文書[PDF]は、前回の警告からほぼちょうど1年後に発表された。グループは依然として米国の法律事務所とその従業員を標的にしており、犯罪者たちは社内ITスタッフを装っている。
また昨年、リモートによるソーシャルエンジニアリングの試みが失敗した際に、このコールバック型フィッシングの専門集団が法律事務所のオフィスに実際に乗り込み始めたことも警告されていた。FBIの最新勧告はこれらの調査結果を再確認するものであり、2026年春に新たな攻撃が報告されている。
法律事務所はUSBポートを封鎖すべきだ。従業員にリモートアクセスを渡すよう説得できない場合、恐喝グループのメンバーがコンピューターに自分たちのUSBメモリを差し込むために訪問し続けているためだ。
こうした手口では、電話やコンピューター画面の向こうからフィッシングやソーシャルエンジニアリングを試みた相手のもとに実際に出向き、社内ITスタッフを装う偽装を続けながら、自分たちが仕掛けたフィッシングメールの被害状況を確認するためにデバイスのイメージングやバックアップファイルの作成が必要だと主張する。
実際には重要なファイルをUSBメモリにコピーしており、SRGはそれを使って後から法律事務所を恐喝する。
FBIはSRGが実際に何件の対面訪問を行ったかを明示していないが、グループの手口と戦術に関する最新の勧告に含めるには十分な件数があったことは明らかだ。
勧告によれば、これらの攻撃が最初に報告されたのは2026年春のことだ。
SRGの概要
SRGのターゲット業種はかつて法律分野だけに限られていなかった。このハック・アンド・リーク型グループはさまざまな業種の組織を標的にしてきたことで知られているが、2023年以降は法曹界が一貫した標的となっている。
FBIは昨年のグループに関する勧告の中で、SRGが米国の法律事務所を継続的に標的にしているのは「法曹業界データの極めて機密性の高い性質によるものと考えられる」と述べている。
犯罪者をオフィスビルに送り込まない場合、SRGの主な目的はコールバック型フィッシングによって達成される。
グループのメンバーはSMSやメールを使って標的企業の従業員を個別に狙い、本物のITスタッフを装いながら電話をかけるよう求める。
従業員が罠にかかると電話をかけ、SRGのITなりすまし者がリモートデスクトップセッションへのアクセス権を付与するよう説得を試みる。その間に権限を昇格させ、恐喝の材料として使うデータの窃取に着手する。
場合によっては、SRGはWinSCPや偽装されたRcloneを使って目的のファイルを収集する。また、Google DriveやMicrosoft OneDriveなどの社内ファイル共有プラットフォームを使ってそれらの文書を共有することも知られている。
コールバック型フィッシングの手法を採用する以前は、グループは偽のサブスクリプションが承認されたとして毎月少額が口座から引き落とされるという内容のメールを送っていた。メールにはサブスクリプションをキャンセルするための電話番号が記載されており、通話が始まると犯罪者たちは標的にリモートアクセスソフトウェアのインストールを説得し、データ窃取の手口を繰り返していた。
SRGはランサムウェアを使用しないことで知られているが、他の恐喝グループと同様にデータ漏洩サイト(DLS)を運営し、盗んだデータの返還に対して被害者に金銭を要求し、支払いを拒否した場合はオンラインで公開すると脅している。
グループの最近の被害者とされる中には、ドナルド・トランプ米大統領が両方の選挙運動で重用した大手法律事務所ジョーンズ・デイが含まれている。SRGはジョーンズ・デイをDLSに掲載し、同事務所は4月に「サイバーフィッシングインシデント」を確認したが、SRGを犯人として名指しはしていない。
国民の協力を求む
FBIは、将来の捜査に役立てるためSRGの活動に関するあらゆる証拠の提供を国民に呼びかけた。特に有用なのは、犯人との連絡に使われた電話番号、通話記録やフィッシングメールのコピー、暗号資産ウォレット情報、そしてオフィスビルに実際に足を踏み入れた人物の特定情報だ。
SRGやその類似手口による攻撃を防ぐ方法としてFBIは、機密情報や高度にセンシティブな情報を保存するデバイスを中心に、会社支給のデバイスへの外付けドライブ接続を禁止するよう組織に勧告した。
ビルに入るすべての人物の身元確認を行うことも有効だ。
グループのリモート攻撃に対しては通常のアドバイスが適用される。セキュリティの低いネットワークからの機密データへのアクセスを制限し、できる限り多くのサービスでフィッシング耐性のあるMFAを要求することだ。
FBIはまた、暗号化されたリモートアクセスを防ぐためポート22へのアクセスをブロックすること、および外部の人間が自分たちの機器をマシンに接続させないよう従業員が認識できる充実した研修プログラムへの投資を推奨している。®
ITを養う手に噛みつく
