企業ユーザーを積極的に狙い、クラウドストレージの認証情報を収集して多要素認証を回避する、「Pink」(CL-CRI-1147)と呼ばれる新たな恐喝グループの存在が確認されました。
このグループのリークサイトは2026年5月31日に公開されており、ソーシャルエンジニアリングと従来型のクレデンシャル・フィッシングを組み合わせることで、侵害したアカウントを迅速に恐喝の材料へと転用する手口を採っています。
Pinkの攻撃は、ビッシング(音声フィッシング)とITサポートへの偽装電話から始まります。ユーザーの警戒心を下げ、緊急性を演出するのが狙いです。攻撃者はヘルプデスクやセキュリティ担当者を装い、ターゲットに対してアカウントまたはデバイスの即時対応が必要だと告げます。
この音声での誘導によって、ターゲットはフォローアップのメッセージやリンクが届くことを自然に受け入れる状態になります。その後、企業のシングルサインオンやクラウドストレージポータルを模倣したクレデンシャル・フィッシングページが送り付けられます。
多要素認証(MFA)が導入されている場合、Pinkはリアルタイムでのプロンプト誘導、プッシュ通知疲弊(プッシュ疲労)、ワンタイムパスコードの傍受といった手法を駆使し、パスワードと合わせて第二認証要素も詐取します。
侵入に成功すると、攻撃者は企業のクラウドストレージや生産性向上ツール一式を組織的に検索し、機密文書、知的財産、アーカイブバックアップを探し出します。
リークサイトに掲載される公開情報は二重の目的を持っています。被害者への支払い圧力をかけると同時に、Pinkの実力を示すことで新たな被害者やアフィリエイトを引き寄せる宣伝としても機能しています。
Palo Altoの報告によると、同グループは侵害の証拠として利用できるフォルダやファイルをコピー・窃取した上で、公開リークサイトおよび直接の恐喝メッセージを通じて被害者に連絡を取り、公開を避けるよう支払いを要求しています。
この攻撃キャンペーンは、大規模な無差別フィッシングではなく、人間を標的とした戦術的なアプローチに特徴があります。
Pinkハッキンググループによる企業への攻撃
電話ベースのソーシャルエンジニアリングと標的に合わせたフィッシングページ、そしてクラウドサービスの即時悪用を組み合わせることで、Pinkはパスワード認証に依存し事後検知に頼る組織に対する成功率を高めています。
このグループは企業のワークフローを熟知しており、共有ドライブ、コラボレーションプラットフォーム、アーカイブされたメールを重点的に検索します。そのため、アクセス範囲が広いアカウントやセッション管理が甘いアカウントからの情報漏えいが特に深刻になる傾向があります。
防御側は、初期侵害時に正規の認証情報が使われることを前提として対策を講じる必要があります。具体的には、フィッシング耐性の高いMFA(ハードウェアトークンまたはFIDO2)の導入、異常なログインをブロックする条件付きアクセスポリシーの実装、セッション管理の強化とクラウドサービスのトークン有効期限の短縮、機密リポジトリへのアクセスに対するステップアップ認証の要求といった対策が推奨されます。
また、過剰なストレージ権限の定期的な監査と最小化、フォレンジック調査に備えたファイルアクセスログの有効化と保持、そして音声偽装を模擬した演習を通じたビッシング手口に関するスタッフ教育も重要です。
侵害された認証情報の迅速な無効化、キーのローテーション、影響を受けたストレージの隔離を中心とした迅速なインシデント対応によって、窃取されるデータ量を最小限に抑えることができます。
帰属分析はまだ初期段階ですが、アナリストはPinkをCom系の恐喝グループとして分類しており、アフィリエイト型の運営形態を採っているとみています。同グループのリークポータルと確認された手口は、ランサムウェアから標的型データ恐喝へとシフトする金銭目的の攻撃者の最近のトレンドと一致しています。
組織はインシデントレスポンスのプレイブックに恐喝への対応を組み込み、法務・広報チームと連携することが求められます。焦って身代金を支払うことは繰り返し標的にされるリスクを高めるため、慎重な判断が重要です。
翻訳元: https://gbhackers.com/pink-hacking-group-targets-enterprises/