企業はデータやアプリケーションの大部分を、適切なログイン情報があれば誰でもアクセスできるクラウドプラットフォームに保管しています。このような構造では、認証情報を持つ従業員一人ひとりがセキュリティ上のリスク要因となります。サイバー犯罪のアンダーグラウンドコミュニティはこうした人々にアプローチするための手法を確立しており、Intel 471は2026年に入ってもその活動を追跡し、クラウド依存型組織が直面するインサイダーリスクを3つのカテゴリーに整理しました。
3種類のインサイダー
このレポートでは、インサイダーを「不注意型」「誘導型」「悪意型」の3種類に分類しています。不注意型インサイダーは悪意を持たないものの、パスワードの使い回し、多要素認証のスキップ、未承認ソフトウェアの使用などによって脆弱性を生み出します。誘導型インサイダーはソーシャルエンジニアリングによって騙され、認証情報を渡したりマルウェアをインストールしたりします。悪意型インサイダーは報酬や報復を目的として自らのアクセス権を利用し、データを窃取したり第三者に侵入経路を提供したりします。
クラウドサービスに対して最も大きなリスクをもたらすのはおそらく不注意型インサイダーで、次いで誘導型インサイダーとなっています。不注意に起因するインシデントは多数発生しているにもかかわらず、多くの組織がインサイダー脅威を「アクセス権を売る不満を抱えた従業員」というイメージでしか捉えていないため、対応が後手に回りがちです。
クラウド環境は各カテゴリーのリスクをさらに高めます。従業員の在籍期間中にアクセス権限が積み重なっても見直しがほとんど行われない、いわゆる「パーミッションクリープ」の問題があります。また、従業員が業務アカウントにサードパーティアプリを連携させることで、ほぼ監視のない状態で社内データへのアクセス権がそのアプリに与えられてしまいます。リモートワークやハイブリッドワークの広がりによって個人端末の利用や監視の低下が加わり、多数のプラットフォームに分散したアクティビティを一元的に把握することも困難になっています。
公開市場に流れる認証情報
スレットアクターは不注意型インサイダーを悪用し、認証情報を収集して転売します。インフォスティーラーマルウェアは保存済みのパスワード、セッションクッキー、クラウドサービスの認証情報を収集し、それらをまとめた「ログ」として他のアクターに販売します。こうしたログはイニシャルアクセスブローカーに流通し、企業のクラウド環境への構造化されたアクセス権として取引されます。2026年5月時点で最も広く使われているスティーラーは、多い順にVidar、Stealc_v2、ACR(別名Acreed)でした。
需要はGoDaddy、Google Workspace、Microsoft 365、Office 365、Outlook on the web、Slackといったサービスの認証情報やクッキーに集中しています。
クラウドログインを標的としたソーシャルエンジニアリングキット
誘導型インサイダーには、彼らが頼りにしているセキュリティ制御を回避するために設計された巧みな欺瞞の手口が仕掛けられています。AiTM(Adversary-in-the-Middle)ツールキットは被害者と本物のログインページの間に割り込み、被害者が多要素認証を完了する間にリアルタイムで認証情報とセッショントークンを取得します。こうしたキットはアンダーグラウンドマーケットで販売・メンテナンス・更新されており、参入障壁は低くなっています。
他の手口には、ヘルプデスクへのなりすまし、SaaSアクセスを狙った音声フィッシング(ビッシング)、繰り返しのプロンプトによるMFA疲労攻撃、OAuthコンセントフィッシング、偽のシングルサインオンポータル、クッキー窃取、開発者プラットフォームを使った誘引、ベンダーへのなりすましなどがあります。2025年9月には、あるアクターが「OktaおよびGoogle Workspaceを標的とした高度なフィッシングキット」を宣伝し、ユーザー名・パスワード・セッショントークンを収集しました。2025年10月には、Goldと名乗るアクターがGmailおよびOktaユーザーを対象にカスタムのリバースプロキシ技術を使ったフィッシングプロジェクトを販売しており、窃取したクッキー・認証情報・2要素認証コードがTelegramボットに転送される仕組みになっていました。
直接アクセスを目的とした従業員の勧誘
アンダーグラウンドフォーラムでは、悪意あるインサイダーの勧誘活動が続いています。アクターは特権アクセスを持つ役職の従業員を探し、システムへの侵入、マルウェアの設置、またはデータ窃取の対価として報酬を提示しています。この活動の多くはプライベートチャンネルに移行しており、観測された事例は実際の件数を大幅に下回っているとみられます。
2025年にIntel 471は41件のインサイダー関連投稿を確認しました。内訳は、インサイダーの募集が19件、インサイダーを持つと主張するものが14件、インサイダーアクセスを持つと主張するものが3件、インサイダーデータを持つと主張するものが3件、インサイダーを自称するものが2件でした。2025年10月には、あるアクターが勧誘に成功したと主張し、米国に拠点を置く組織への可視性を持つインサイダーを確保したと述べています。
複数の事例がクラウドプラットフォームを標的としていました。2025年9月28日、betwayというハンドルネームを使うアクターが、230万件以上の顧客情報を保有するSalesforceアカウントへのアクセスのために、インド企業の従業員に賄賂を渡したと主張しました。2025年10月31日、Finduserと名乗るアクターが、約10万台のレストランコンピューターおよびPOS端末と連携したシステムへのインサイダーアクセスを宣伝し、内部ネットワーク・メール・Slackへのアクセスも含むとしました。2026年4月4日、samsepi0lという名のアクターがオークションを実施し、マスター管理者・Slack・Okta へのアクセス権を出品しました。ログイン認証とアラート監視を24時間対応できるインサイダーのサポートが付帯するとされていました。また、アカウントのBAN解除やユーザーデータ照会を目的としてMetaのインサイダーを求める投稿も見られました。
リスク低減のための対策
SaaS・PaaS・IaaSの導入は今後も拡大し続け、人的レイヤーを標的とするアクターの攻撃対象領域も広がっていきます。Intel 471は、最小権限の原則に基づいた定期的な権限レビュー、サードパーティアプリ接続の一元的な管理台帳の整備、退職・異動時の即時アクセス削除、SaaS使用状況を監視してベースラインからの逸脱を検知するツールの導入を推奨しています。
フィッシング耐性のある認証オプションへの移行を視野に入れた全プラットフォームへのMFA適用と、ソーシャルエンジニアリングを見抜くための従業員トレーニングも重要な対策です。インシデントの大半を占める不注意型・誘導型インサイダーへの対策は、アイデンティティ制御・可視性・セキュリティ意識向上への継続的な投資によって効果を高めることができます。
翻訳元: https://www.helpnetsecurity.com/2026/06/11/report-cloud-insider-threats/
