エグゼクティブサマリー
EclecticIQのアナリストは高い確度で、ShinyHuntersがAI対応の音声フィッシング、サプライチェーン侵害、そして企業ネットワークへの直接アクセスを提供できる従業員や請負業者などの悪意ある内部関係者の活用を組み合わせることで、活動を拡大していると評価しています。
ShinyHuntersは、音声フィッシング攻撃を実行して小売、航空、通信企業で利用されるシングルサインオン(SSO)プラットフォームへの不正アクセスを得るために、Scattered SpiderおよびThe Comのメンバーに依存している可能性が非常に高いと見られます。同グループはこのアクセスを用いて大量の顧客データを持ち出し、被害組織を恐喝します。
アナリストは、ShinyHuntersのリーダーであるShinyCorpが、ランサムウェアのアフィリエイトや他のeCrimeアクターとともに盗難データセットを積極的に販売しており、企業あたり100万ドルを超える価格で取引していることを確認しました。
図1 – ShinyHuntersの被害者が受け取ったデータ恐喝メッセージ。
ShinyHuntersは、Gitのバージョン管理、BrowserStack、JFrog、クラウド型プロジェクト管理プラットフォーム上の高権限エンジニアリングアカウントを標的にし、CI/CDパイプラインへ侵入します。アナリストは高い確度で、このアクセスはサプライチェーン攻撃を可能にすることを意図している可能性が非常に高いと評価しています。サプライチェーン攻撃はShinyHuntersが好む戦術であり、ソフトウェアサプライチェーン上の単一のアクセスポイントを通じて数千の企業システムを侵害できるためです。
EclecticIQのアナリストは、VMware ESXi環境を暗号化する機能を備えた「shinysp1d3r」ランサムウェア・アズ・ア・サービス(RaaS)ネットワークが現在開発中であることを確認しました。アナリストは中程度の確度で、稼働後にはShinyHuntersがこのサービスを活用して被害者基盤を拡大し、新たなアフィリエイトを引き付け、恐喝能力を拡充する可能性が高いと評価しています。
ShinyHuntersのグループ構造とリーダーシップ
ShinyHuntersは金銭目的の脅威グループで、2020年に初めて出現し、ShinyCorpというペルソナの指導の下で活動しています [1]。メンバーはTelegramや、BreachStars、OGUsers、DarkForumsといった英語圏のサイバー犯罪フォーラムで活動しています。EclecticIQのアナリストは、ShinyHuntersのメンバーがこれらのチャネルを利用して、さまざまな組織から持ち出した機微データを販売またはリークしていることを確認しました。
図2 – EclecticIQの脅威インテリジェンス・プラットフォーム(TIP)のグラフビューにおける、ShinyHuntersチームの概要とScattered Spiderとのつながり。
EclecticIQのアナリストは、2025年の最近のキャンペーンに関与している可能性が高い、最も活動的なShinyHuntersメンバー3名を特定しました。これらのメンバーは、Scattered Spider [2]、The Com [3]、Lapsus$ [4] といった他の敵対グループとも緩やかなつながりを持っています。
このつながりにもかかわらず、ShinyHuntersとScattered Spiderの間に直接的な関係はありません。アナリストは高い確度で、一部のScattered SpiderメンバーがShinyHuntersに雇われ、企業被害者に対する音声通話フィッシングおよびソーシャルエンジニアリング・キャンペーンを実施していると評価しています。こうした異なるeCrimeグループ間の協業は、航空および小売セクターのSalesforceユーザーも標的にしました [5]。
ShinyHuntersとeCrimeエコシステムの関係
EclecticIQのアナリストは高い確度で、Yukari(別名:Yuki、Yuka、yukimane、yukafeet)という脅威アクターのペルソナがShinyHuntersとScattered Spiderの双方のアクティブメンバーであり、初期侵害、SIMスワップ攻撃、音声通話フィッシングを担っている可能性が非常に高いと評価しています。
図3 – ShinyHuntersとのつながりを示す、Yukariが運営するTelegramチャンネル。
EclecticIQのアナリストは高い確度で、ShinyHuntersのリーダーであるShinyCorp(Telegramではsp1d3rhuntersまたはshinyc0rpとしても知られる)が、Scattered SpiderやThe Comを含むeCrimeアクターを通じてサイバー犯罪者を勧誘したと評価しています。
Angel RaaSプログラムを率いる脅威アクターRey [6] は、VPNやファイアウォールソリューションなどのエッジネットワーク機器に対するブルートフォース攻撃や、インターネットに公開されたサーバーにおける既知脆弱性の悪用を伴う初期アクセス作戦を指揮しました。脅威アクターSevyはソーシャルエンジニアリングに注力し、企業組織に対する音声通話フィッシング・キャンペーンを実施しました。
EclecticIQのアナリストは高い確度で、ShinyHuntersのメンバーが複数のサイバー犯罪グループ間で相互に活動しており、一部はランサムウェア・アズ・ア・サービス(RaaS)プログラムとの関係も維持していると評価しています。このクロスメンバーシップによりShinyHuntersはより広範なeCrimeエコシステムに統合され、ツール、手法、運用知識の交換が可能となり、攻撃の有効性と成功率が向上します。
スケーラブルなビッシング・キャンペーンのためのAI音声エージェントとScattered Spiderアフィリエイトネットワークの活用
ShinyHuntersのアフィリエイトは、Twilio、Google Voice、3CXなどのVoIPベースの通話サービスをビッシング作戦に使用しました。また、Vapi [7] やBland [8] といった正規のAI音声通話プラットフォームを悪用し、大規模にソーシャルエンジニアリング通話を自動化しました。
図4 – ビッシング・キャンペーンにおけるAI音声エージェントのワークフロー。
ShinyHuntersのメンバーはBland AIを悪用し、電話中の被害者の反応に合わせてリアルタイムで物語や戦術を動的に調整する、AI駆動のソーシャルエンジニアリング・エージェントを稼働させました。Bland AIに組み込まれた大規模言語モデル(LLM)により、攻撃者は特定のシナリオに合わせた会話経路(パスウェイ)を生成・設計できます [9]。これにより、被害者が台本どおりでない応答をしても、通話の説得力を維持できます。
図5 – Bland AIのパスウェイ機能の例。
攻撃者は性別や地域アクセントを含む音声スタイルを設定でき、出力はロボット的ではなく人間らしく聞こえます。静的なロボット音声通話とは異なり、AIモデルは音声を動的に生成し、信頼性を維持して標的を操作するためにトーンや応答を調整します。LLMによる対話管理と、ほぼ現実的な合成音声の組み合わせにより、ShinyHuntersに関連する脅威アクターは大規模に成功するビッシング作戦を実行できます。
図6 – Bland AIユーザーインターフェースにおけるAI音声エージェントのオプション。
ShinyCorpによれば、音声通話フィッシング攻撃はScattered Spiderのメンバーのみが実施しています。EclecticIQのアナリストは、Scattered Spiderが独自にビッシング作戦を行う一方で、一部のメンバーはThe Comエコシステム内の他アクターから外部委託サービスにも依存していることを確認しました。
図7 – 音声通話フィッシング作戦へのScattered Spiderの関与に言及するShinyCorpからのTelegramメッセージ。
これらには、いわゆる「コールセンター」プラットフォームや「P1」(press-one)サービスが含まれます。コールセンター・プラットフォームは、音声通話フィッシング・キャンペーンを大規模に管理するためのインターフェースを提供する集中型ダッシュボードです。P1サービスは通常、Telegramボットを通じて管理される自動ビッシングサービスです。
P1サービスを用いた音声通話の例は、以下の動画で確認できます:
図8 – Google Voiceを悪用してCoinbaseユーザーに対するビッシング攻撃を実行するP1サービスの例。
これらのサービスにより、脅威アクターはGoogle Voiceや他のVoIPプロバイダー経由で通話を発信し、被害者を誘導して「1」を押させ、事前設定されたフィッシングテンプレートを起動できます。攻撃者はテンプレートを設計してTelegramボットにアップロードします。テンプレートは機械生成音声を模倣し、認証情報を収集し、認証フローを自動化できるため、ビッシング・キャンペーンの参入障壁を大幅に下げます。
アナリストは、ShinyCorpがSim Land(SL)などのTelegramグループを通じて音声通話フィッシングの専門家を積極的に勧誘していることを特定しました。Sim LandはThe Comのメンバーが運営する地下コミュニティです。Sim Landチャンネルは、金銭目的のアクターが知識を交換し、サービスを販売し、SIMスワップ、音声通話フィッシング、金融詐欺で協業することを可能にします。
図9 – Sim LandのTelegramチャンネルで管理者権限を得るShinyCorp。
ShinyCorpは、電話を通じて実証されたソーシャルエンジニアリング能力に基づいて勧誘対象を選定します。選ばれた脅威アクターの一部は、CoinbaseやApple/Gmailのサポート担当者になりすまして暗号資産詐欺を行っていました。2025年8月19日、ShinyCorpはSim LandのTelegramチャンネルの管理者となりました [10]。これは、eCrimeアクターとShinyHuntersのリーダーShinyCorpの間の緊密な連携を示しています。
企業向けクラウドアプリケーション利用者に対するビッシング攻撃が7桁の恐喝要求につながる
EclecticIQのアナリストは高い確度で、ShinyHuntersがSalesforceアプリケーションを侵害するビッシング作戦を組織したと評価しています [11]。攻撃者はIT担当者になりすまして企業のサポートデスクに電話し、従業員を正規のSalesforceアプリ接続ページへ誘導しました。通話中、被害者は接続コードの入力を騙され、アクターが制御するアプリケーション(多くの場合、Salesforce Data Loaderの改変版)を認可してしまい、その結果、攻撃者は組織アカウントへのアクセスを得ました。
侵害されたSalesforce CRM(顧客関係管理)ダッシュボードにより、大量のデータ持ち出しとOkta、Microsoft 365、Amazon S3への水平展開が可能になりました。複数のデータ恐喝キャンペーンにおいて、ShinyHuntersはLimeWireのファイル共有サービスを用いて盗難データのサンプルをリークし、被害者に7桁の恐喝要求を支払わせる圧力を強めました。
図10 – Salesforceの接続コード・フィッシングの例。攻撃者が音声通話で被害者を「/setup/connect」へ誘導する。
EclecticIQのアナリストは、攻撃者が航空および小売セクターの企業からSalesforceデータセットを持ち出したことを特定しました。
航空会社から持ち出されたデータセットの例:
- ユーザーアカウントデータ 26GB
- 顧客連絡先レコード 16GB
- メールログ 5.5GB
- フライト記録 4.1GB
- ライブチャットの書き起こし 1.3GB
アクセス獲得後、ShinyHuntersは被害者のSalesforce CRMダッシュボードを用い、Omni-Channel機能 [12] を通じて顧客へ電話をかけ、信頼されたプラットフォームをビッシングとデータ恐喝のツールへと転用しました。
EclecticIQのアナリストは、ShinyCorpが盗難航空データを企業あたり最大100万ドルで販売していることを特定しました。ShinyCorpはTelegramとqToxを用いて潜在的な買い手と連絡を取り、金銭的利益を最大化するために高価値の企業データへ注力していることが示されています。
図11 – 航空被害者から持ち出したSalesforceデータを販売するためのShinyCorpのやり取り。
EclecticIQのアナリストは、ShinyHuntersが持ち出した機微な顧客データを交渉時の圧力材料として利用していることを確認しました。同グループは、高権限SSOユーザーに対するなりすまし(ID窃取)や、ConnectWise ScreenConnectなどのリモート管理ツール(RMM)を介してデータが豊富なシステムへの初期アクセスを得ることで、この目的を達成しています。
最近のインシデント分析では、異なるタイプのビッシング作戦に共通する一貫した手口が示されています。場合によっては、経験豊富な詐欺師が運用する「口実なし」の通話を用い、ユーザー認証情報を直接取得するよう設計されています。別のキャンペーンでは「口実あり」の通話が用いられ、脅威アクターが従業員やIT担当者になりすまして、パスワードリセット、MFA更新、アプリケーション認可を要求します。さらに近年、脅威アクターはAI駆動の音声通話も採用しており、自然な対話を生成し、トーンや内容をリアルタイムで調整し、被害者が予測不能に応答しても信頼性を維持します。
これらの異なるアプローチ全体で、特定のパターンが繰り返し見られます。通話はしばしば落ち着いた協力的な口調と、偽のITヘルプのシナリオから始まります。例えば:
- 要求のエスカレーション – 発信者は正規スタッフを装い、ヘルプデスク担当者に一時的な認証情報の発行、2FAトークンの更新、MFAに紐づく電話番号のリセットなどを説得します。これらの通話は通常、パスワードリセットのような単純な要求から始まり、MFA設定変更やRMMツールのインストールといったより機微な変更へと段階的にエスカレートします。
- もっともらしいカバーストーリー – 攻撃者は、パスワード忘れ、VPNサービスでのログイン失敗、クラウドアプリケーションの遅延など、日常的なIT問題に要求を結び付けます。
- プロセスの誘導 – 敵対者はAnydeskのようなRMMツールをインストールさせるための具体的な技術的手がかりを与えたり、被害者ネットワークに関する機微情報を収集したりします。
- 同様の手法はSalesforce Data Loaderのフィッシング・キャンペーンでも観測され、IT担当者を装った発信者が「技術的問題の解決」を口実に、被害者を「/setup/connect」へ誘導しました。会話を段階的に誘導することで、攻撃者は正当なトラブルシューティングのように見せかけつつ、実際には被害者に不正なOAuthアクセスを確立させました。
- 丁寧な話し方 – 緊急性や攻撃性ではなく、発信者は落ち着いた協力的な口調を維持し、「ゆっくりで大丈夫です」といった言葉で従業員を安心させ、疑念を減らします。
これらの戦術が有効なのは、人間の信頼を悪用しつつ、デジタル上の痕跡を最小限に抑えるためです。ITヘルプデスクやその他のフロントラインのサポート担当者は、ユーザーアカウントや認証システムに重大な変更を加えるためのアクセス権限、許可、組織知を持つため、特に魅力的な標的です。攻撃者がこれらの担当者の協力を得ると、データ窃取、金融詐欺、恐喝へ迅速に移行できます。台本型の口実から適応型のAI駆動ビッシング・エージェントへの進化は、音声ベースの侵入がeCrimeエコシステム内でスケール化・プロフェッショナル化されていることを示しています。
ShinyHuntersは2025年初頭から企業のOktaユーザーを標的に
EclecticIQのアナリストは高い確度で、ShinyHuntersが2025年初頭からフィッシング基盤を運用していると評価しています。同グループはOktaのSSOログインページを装い、投資銀行、高級小売、旅行、米国の決済処理、大手eコマースなどの高価値セクターから認証情報を窃取しました。
Oktaは、シングルサインオン(SSO)を通じて多くの企業向けクラウドアプリケーションへの認証を集約するIDおよびアクセス管理(IAM)プラットフォームです。そのため攻撃者にとって高価値の標的となります。SSO対応のOktaアカウントを1つ侵害するだけで認証制御を回避し、Slack、CI/CDパイプライン、人事管理ツール、クラウドデータストア、その他の企業アプリケーションを含む複数の業務上重要なシステムへのアクセスを得られます [13]。
Oktaログインページを装う再利用されたフィッシングテンプレート
EclecticIQのアナリストは、ShinyHuntersのソーシャルエンジニアリング戦略の一環として、脅威アクターが正規のOktaサブドメイン(trial-6857053.okta[.]com)の認証フローとユーザーインターフェースを複製していることを確認しました。標的組織のブランドを付したログインフォームを再現し、公式のOkta環境を模倣する説得力の高いフィッシングページを作成しました。
図12 – 複製されたOktaログインフォームから他のフィッシング基盤へピボットする様子。
アナリストは、ドメイン名(trial-6857053.okta[.]com)とそのフィッシングテーマからピボットし、ShinyHuntersのフィッシング・キャンペーンに関連する12個のインフラ・アーティファクトを特定しました。EclecticIQのアナリストは、これらのフィッシング攻撃が、過去に報告されたShinyHuntersの活動と一致するセクター(高級小売や金融機関など)を標的にしていることを確認しました [14]。
偽のOktaログインテーマは、ReliaQuestが8月12日に公開した記事で説明されたフィッシングテンプレートと非常によく似ており、戦術と標的の両面で重複が示唆されます [15]。フィッシングページの分析によれば、Oktaログインフォームは2022年8月23日(ブラジル時間帯)に初めて複製されたことが示されています [16]。
図13 – EclecticIQのTIPにおけるフィッシング基盤のリンク分析。
正規のOktaドメイン(trial-6857053.okta[.]com)からコピーされたなりすましログインフォームは、複数のキャンペーンで観測されており、2023年6月29日から2025年6月10日の間に収集されたサンプルが存在します。この期間を通じて、同一のログインフォームページが、標的組織のOktaログインパネルを装うためにブランド調整のみで繰り返し再利用されました。
図14 – 複製されたOktaログインフォーム内のタイムゾーン・メタデータ。
ピボットしたOktaフィッシング基盤の分析により、fbi.govへの参照を含む同一のHTTPレスポンスヘッダーが複数ホストで確認されました。Serverヘッダーは一貫してApache/2.4.58 (Win64) with OpenSSL/3.1.3を示し、PHPバージョン(8.0.30 vs. 8.2.12)に軽微な差異があるのみで、同一作戦下での集中設定・管理を示唆します。
図15 – ピボットしたOktaフィッシングサーバーのHTTPレスポンスヘッダー。
HTTPヘッダーにfbi.govを使用している点は、Telegramチャンネルや地下フォーラムでFBI捜査官を嘲笑してきたShinyHuntersの過去と整合する、意図的な行為である可能性があります。
ピボットしたIPアドレスの1つである196.251.83[.]162は、フィッシングドメインBLESS-INVITE[.]COMをホストしていることが確認されました。WHOISレコードによれば、このドメインは2025年4月5日に作成され、2025年7月4日に最終更新されており、インフラの運用開始時期と整合します。このドメインはTucowsを通じて登録され、所有者情報とホスティング詳細を隠蔽するために脅威アクターが頻繁に利用するレジストラNjallaのプライバシー保護サービスが使用されていました。
盗難BrowserStackユーザーアクセスキーがShinyHuntersにCI/CDパイプラインとサプライチェーン攻撃への経路を提供
EclecticIQのアナリストは高い確度で、ShinyHuntersがエンジニアリングチームによって作成されたBrowserStack APIキーを入手し、それを用いて企業の開発環境を標的にしたと評価しています。BrowserStackはCI/CDパイプラインに統合されるクラウドベースのテストプラットフォームであり、ソースコード、ビルドプロセス、デプロイワークフローへのアクセスを狙う攻撃者にとって高価値の標的です [17]。
図16 – BrowserStackに紐づく漏えいAPIアクセスキーを示すTelegram投稿。
この評価は、ShinyHuntersが運営し、2025年8月8日から活動していた短命のTelegramチャンネル「Scattered Lapsus$ Hunters」で観測された活動に基づきます。このチャンネルでShinyHuntersは化粧品会社を標的にし、以下を含む複数のAPIキーをリークしました:
- 企業ドメインに紐づく有効なBrowserStackアクセスキー(テスト用認証情報へのアクセスを示唆)。
- 有効期限のないAPIキー(テスト目的でエンジニアリングチームが作成した可能性が高い)。
- Cloudflare Accessドメインおよび内部のAzureホストアプリケーションを参照するAPIキー。これらはBrowserStack認証情報とは形式が異なり、他の内部開発または認証システムに関連している可能性が高い。
追加の非BrowserStackキーの出所は不明のままです。認証情報形式が混在していることは、ShinyHuntersが複数のソースからアクセスを得ており、一部のキーはテスト環境由来、他は企業認証システム由来である可能性を示唆します。
図17 – 盗難APIキーに紐づくCloudflare Zero Trustパネル。
EclecticIQのアナリストは中程度の確度で、ShinyHuntersが同一企業が保有するCloudflare Zero Trustリソースも標的にした可能性が高いと評価しています。この評価は、漏えいしたAPIキーにCloudflare Accessに紐づくドメイン参照が含まれていたことを分析し、テスト環境を超えて企業インフラへ拡大しようとする試みを示唆したためです。
図18 – プロジェクト管理ツールおよびクラウドアプリケーションとのBrowserStack連携。
BrowserStackがJira、GitHub、Slack、Azure DevOpsなどのCI/CDパイプラインおよびコラボレーション・プラットフォームと統合されていることは、APIアクセス窃取の潜在的影響を増幅させます。盗まれたキーが1つでも、攻撃者の可視性をテスト環境からより広範なエンジニアリング・ワークフローへ拡張し、サプライチェーン侵害や企業全体のデータ侵害の機会を生み出し得ます。
Oracle Access Managerの悪用によりShinyHuntersが機微な顧客記録を窃取
ShinyHuntersチームが運営する公開Telegramチャンネルから得られた情報によれば、脅威アクターのペルソナ「Yukari」がOracle Access Managerの脆弱性(CVE-2021-35587)を悪用しました。攻撃は金融機関および製造業者を標的にしました。EclecticIQのアナリストは、標的ドメインを分析してこの侵害を確認し、被害組織に速やかに通知することで、さらなる侵害を防止しました。
図19 – ShinyHuntersが運営するTelegramチャンネルに投稿されたYukariのコンソール出力。
EclecticIQのアナリストは高い確度で、脅威アクターがOracle 12c(12.2.0.1.0)の本番データベースへアクセスしたと評価しています。 アクターはアプリケーションサーバーに保存された弱いハードコード資格情報を悪用しました。認証後、アクターはSQL*Plusを使用してクエリを実行し、場合によってはデータを持ち出しました。
*図20のスクリーンショット(下)は製造企業に関連しており、図19(上)とは一切関係がありません。
図20 – Oracle Access Manager内でデータをダンプするためのSQLコマンド実行。
このコンソール出力の公開後、脅威アクターは侵害されたOracle Access Managerダッシュボードのスクリーンショットも共有しており、これにより本評価の確度が高まります(図20)。
EclecticIQのアナリストは高い確度で、SevyおよびReyといったペルソナを含むScattered Spiderの他メンバーが、その後ShinyHuntersチームと協力し、同様の悪用を実施して小売、通信、製造、航空セクターの企業を侵害したと評価しています。
エッジネットワーク機器およびクラウドアプリケーションへの不正アクセスのための内部関係者の勧誘
2025年8月31日、ShinyHuntersが運営するTelegramチャンネル「scattered LAPSUS$ hunters 4.0」が勧誘メッセージを投稿しました。同グループは、Okta、Microsoft SSO、Citrix VPN、またはGitのバージョン管理ソリューション(Github、Gitlab)へのアクセスを提供できる企業内の内部関係者を勧誘しました。このクラウドアプリケーションへの需要は、ShinyHuntersチームに帰属される観測済みフィッシング・キャンペーンと整合します。
ShinyCorpは、ネットワークアクセス提供の見返りとして、金融、保険、航空、通信、自動車、小売、ホスピタリティ、エネルギー、投資企業の従業員に金銭的報酬を提示しました。
図21 – 企業ネットワークへの内部アクセスを求めるShinyCorp。
この内部協力の呼びかけは、企業防御を回避するために信頼された従業員へ依存するShinyHuntersの動機と依存度を浮き彫りにします。SSOまたはVPNプラットフォームへの内部アクセスは、水平展開、データ窃取、ランサムウェア展開、重要セクターでのサービス妨害を可能にします。
この戦術は、内部脅威の危険性が増大していることを示しています。EclecticIQのアナリストは、組織が脅威モデリングに内部脅威シナリオを追加し、疑わしい内部活動を検知するためにハニーポットを展開し、厳格なアクセス制御を強制し、機微データへの従業員アクセスを必要最小限(need-to-know)に制限することを推奨します。
ShinyHuntersのデータ恐喝攻撃から得られた教訓
EclecticIQのアナリストは高い確度で、ShinyHuntersチームがScattered SpiderやDragonForceのRaaSメンバーなど、他のeCrimeアクターと協力して攻撃成功率を高めたと評価しています。
ShinyHuntersチームは、企業ネットワークおよびソフトウェアサプライチェーンを侵害するために、クラウドアプリケーション、クラウドホスト型プロジェクト管理、エンジニアリング協業プラットフォームにおける高権限ユーザーアカウントを標的にすることを好みました。
EclecticIQのアナリストは、ソーシャルエンジニアリング主導のID侵害攻撃が企業セキュリティ制御の予防を成功裏に回避し、企業防御における重大かつクリティカルな盲点の現実的証拠を提供したことを確認しました。
音声通話フィッシングのようなソーシャルエンジニアリング手法は、ShinyHuntersと協働するScattered Spiderアクターから採用された可能性が非常に高いと見られます。アナリストは、ShinyHuntersが被害組織から大量の顧客データを持ち出し、恐喝金が支払われない場合にデータをリークすると脅すことに注力していることを確認しました。顧客データ漏えいは直接的な金銭損失につながるため、脅威アクターはこれを被害組織への圧力戦術として利用します。
EclecticIQは中程度の確度で、ShinyHuntersのクラウド中心のトレードクラフトが、将来の作戦においてランサムウェアグループを含む他の脅威アクターに模倣される可能性が高いと評価しています。この評価は、地下フォーラムやTelegramチャンネルでランサムウェアのアフィリエイトがShinyHuntersの最近の成功について議論・評価しており、同様の手法を自らのキャンペーンに統合する意図を示していることによって裏付けられます。
検知および予防の機会
EclecticIQのアナリストは、脅威アクターが顧客関連データを持ち出しデータ恐喝を行うために、企業向けクラウドアプリケーションをますます標的にしていると評価しています。組織はリスクを低減するため、厳格なアクセス制御と監視を強制する必要があります。アナリストは、本脅威調査で観測されたShinyHuntersの攻撃パターンから組織を保護するため、以下のセキュリティポリシー強化リストを推奨します。
データアクセスツールに最小権限を適用
- 「API Enabled」および大量エクスポート権限(例:Data Loader)を必須の役割のみに制限する。
- SSO統合アプリケーションの過剰権限を監査する。
SSO対応クラウドアプリケーションの堅牢化
- Salesforce、Okta、Microsoft 365などのプラットフォームで高権限アカウントを制限する。
- 機微な操作に対してJust-In-Time(JIT)アクセスを強制する。
- 異常なSSO利用について認証ログを監視する。
接続済みおよびサードパーティアプリケーションの制御
- 審査済みのクラウドおよび接続アプリのみを許可リスト化する。
- 「Manage Connected Apps」のような権限を信頼できる管理者に限定する。
- 未使用の連携を定期的に見直し、取り消す。
IPおよびネットワークベースの制限を強制
- ユーザープロファイルと接続アプリの双方に対して信頼できるIP範囲を定義する。
- 不明なネットワーク、特に商用VPNからのアクセスをブロックまたはチャレンジする。
監視と検知の強化
- Salesforce Shield、Okta ThreatInsight、Microsoftのセキュリティログを用いて異常検知を行う。
- 大量データエクスポートをフラグ付けまたはブロックするトランザクション・セキュリティポリシーを設定する。
強力な認証を義務化
- すべてのSSO対応アプリでMFAを一律に強制する。
- MFA疲労とソーシャルエンジニアリングのリスクについてユーザーを教育する。
- 機微データを管理するユーザーに対してFIDO 2セキュリティキーを強制する。
従業員トレーニング&ビッシング認知向上
- 音声ベースのソーシャルエンジニアリング・シナリオを含むフィッシング演習を実施する。
- 予期しないITサポートの電話は、社内ディレクトリを用いて折り返し電話をかけることで検証するようスタッフを訓練する。
- MFAリセットや認証情報変更など高リスク要求に対して、社内検証チャレンジを実装する。要求を直接処理するのではなく、発信者に事前定義の合言葉を提示させる、または追加の保証としてビデオ通話へエスカレーションし、従業員が視覚的に本人確認(例:社員証の提示)を行うことを求める。
- 一般的なビッシングの口実(緊急の結果、偽のシステムエラー、予期しないMFAプロンプト)について従業員を教育する。
セキュリティ監視&アラート
- SIEMおよびSOARツールを用いてサインインとサービスデスク活動を監視する。
- 以下に対するアラートを設定する:
- 高権限アカウントのパスワードリセット、または通常パターン外でのリセット。
- 新規MFA登録または変更。
- 複数回のログイン失敗の後に成功するリセット。
- MFA疲労活動。
- すべての異常イベントが、影響を受けた従業員および管理者と連携してセキュリティチームによりレビューされることを確実にする。
MITRE ATT&CK TTP
- フィッシング:スピアフィッシングリンク(T1566.002)
- 有効なアカウント(T1078)
- 公開アプリケーションの悪用(T1190)
- 外部リモートサービス(T1133)
- ユーザー実行:悪意のあるリンク(T1204.001)
- コマンドおよびスクリプトインタープリタ:Unixシェル(T1059.004)
- 権限昇格のための悪用(T1068)
- インフラの取得:Webサービス(T1583.006)
- インフラの取得:仮想プライベートサーバー(T1583.003)
- ブルートフォース(T1110)
- ソフトウェア探索(T1518)
- クラウドサービス探索(T1526)
- リモートサービスの悪用(T1210)
- 情報リポジトリからのデータ(T1213)
- 自動収集(T1119)
- データのステージング:リモートデータステージング(T1074.002)
- アプリケーション層プロトコル:Webプロトコル(T1071.001)
- Webサービス(T1102)
- プロキシ(T1090)
- クラウドストレージへの持ち出し(T1567.002)
- C2チャネル経由の持ち出し(T1041)
- 影響のために暗号化されたデータ(T1486)
- データ操作(T1565)
- アカウント作成:クラウドアカウント(T1136.003)
- クラウドコンピュートインフラの変更:クラウドコンピュート構成の変更(T1578.005)
- 多要素認証の傍受(T1111)
- アプリケーションアクセストークンの窃取(T1528)
- WebセッションCookieの窃取(T1539)
- パスワードストアからの認証情報:クラウドシークレット管理ストア(T1555.006)
- OS認証情報ダンプ:NTDS(T1003.003)
- サプライチェーン侵害(T1195)
侵害指標(IOC)
高い確度でShinyHuntersに関連している可能性が非常に高いと評価されたフィッシング基盤:
191[.]96[.]207[.]179
196[.]251[.]83[.]162
163[.]5[.]210[.]210
94[.]156[.]167[.]237
23[.]94[.]126[.]63
198[.]244[.]224[.]200
admiring-shockley[.]196-251-83-162[.]plesk[.]page
bless-invite[.]com
get-carrot-zoom[.]com
modernatx-zoom[.]com
recurly-zoom[.]com
Scattered Spiderに関連している可能性が非常に高いと高い確度で評価されたEvilginxフィッシング基盤(この評価は、Silent Pushが過去に帰属したドメインとのインフラ類似性に基づく):
sharepoint-comcast[.]com
workday-nike[.]com
workday-hubspot[.]com
sharepoint-workplaceview[.]com
newscorp-okta[.]com
corporate-microsoft[.]com
okta-louisvuitton[.]com
corporate-okta[.]com
pure-okta[.]com
morningstar-okta[.]com
sts-vodafone[.]com
corp-hubspot[.]com
signin-okta[.]com
bmcorpuser.internal-okta[.]com
help-allvuesystems[.]com
allvuesystems-okta[.]com
163[.]5[.]169[.]142
OktaフィッシングテーマのSha-256ハッシュ:
0383c0d109b7cfdef058b0197125c85d276510724be33a746056f9a7c181d761
e5c5617c8676e9a5cf6108d344fe7fcb6590671efd6baccb02b9313da0f0d289
36de93aaf26727f6dd55ff2100b08dfb52abccfb57a7bf4d07a7fb703a86623d
6aa51de51a6b352fd073b5b9080011d358d42fa190a8a9ee216e3ef6e657b801
4e20f2c4c90e3654a8c43fb10003978d61d2b48426414dede3b1bd5a2c891b54
ShinyCorpが所有するqTox ID:
BD1B683FD3E6CB094341317A4C09923B7AE3E7903A6CDB90E5631EC7DC1452636FF35D9F5AF2
ShinyCorpが所有する暗号資産アドレス:
- Bitcoinアドレス: bc1q5530apqz86eywm2f84mpcyuux3dv9mmztsdxt2
- XMRアドレス: 87cEqA6PunENHwe5h8XtRifWuDhNQXKwzGNSbwKmrdEehY4wjRjWvZmSgE8LHTe6e5Pmnuyyiu5AWbGCC9gHUzUj5KHnSH9
参考文献
[1] M. K. Vaya Chandni, 「Bling Libraの戦術的進化:ShinyHuntersランサムウェアの背後にいる脅威アクターグループ」, Unit 42. 参照日:2025年8月31日. [オンライン]. 入手先: https://unit42.paloaltonetworks.com/shinyhunters-ransomware-extortion/
[2] 「UNC3944への防御:最前線からのサイバー犯罪ハードニング指針」, Google Cloud Blog. 参照日:2025年8月31日. [オンライン]. 入手先: https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations
[3] 「Internet Crime Complaint Center (IC3) | Hacker Com:The Community(Com)のサイバー犯罪サブセットは若者のオンラインに対する増大する脅威」. 参照日:2025年8月31日. [オンライン]. 入手先: https://www.ic3.gov/PSA/2025/PSA250723
[4] 「Lapsus$および関連脅威グループに関連する攻撃のレビュー報告書 | CISA」. 参照日:2025年9月5日. [オンライン]. 入手先: https://www.cisa.gov/resources-tools/resources/review-attacks-associated-lapsus-and-related-threat-groups-report
[5] 「一本の電話の代償:音声フィッシングからデータ恐喝へ」, Google Cloud Blog. 参照日:2025年9月1日. [オンライン]. 入手先: https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion
[6] 「Telegram:@angelraasrebornを表示」. 参照日:2025年9月1日. [オンライン]. 入手先: https://t.me/angelraasreborn
[7] 「Vapi – 高度な音声AIエージェントを構築」, Vapi. 参照日:2025年9月1日. [オンライン]. 入手先: https://vapi.ai
[8] 「Bland AI | 企業向け会話型AIで電話通話を自動化」. 参照日:2025年9月1日. [オンライン]. 入手先: https://www.bland.ai
[9] 「会話パスウェイ」, Bland AI. 参照日:2025年9月1日. [オンライン]. 入手先: https://docs.bland.ai/tutorials/pathways
[10] vx-underground [@vxunderground], 「SimlandのTelegramチャンネルはTelegramでBANされた—ただし新しいものがすでに作成されている。フランスでのPavel Durov逮捕を受け、Telegramユーザーは犯罪関連チャンネルに対するTelegramの対応が大幅に増加したと報告している。」, Twitter. 参照日:2025年9月1日. [オンライン]. 入手先: https://x.com/vxunderground/status/1850975928421167171
[11] D. Ruiz, 「Google、AdidasなどがSalesforce詐欺で侵害された方法」, Malwarebytes. 参照日:2025年9月1日. [オンライン]. 入手先: https://www.malwarebytes.com/blog/news/2025/08/how-google-adidas-and-more-were-breached-in-a-salesforce-scam
[12] 「Salesforceヘルプ | 記事」, Salesforce. 参照日:2025年9月1日. [オンライン]. 入手先: https://help.salesforce.com/s/articleView?language=en_US&id=service.voice_agents_make_calls.htm&type=5
[13] 「Okta Integration Networkカタログ」. 参照日:2025年9月1日. [オンライン]. 入手先: https://www.okta.com/integrations/
[14] J. Eom, 「Louis Vuitton Korea、顧客データ漏えいを伴うサイバー攻撃を受ける」, Bloomberg.com, 2025年7月4日. 参照日:2025年9月1日. [オンライン]. 入手先: https://www.bloomberg.com/news/articles/2025-07-04/louis-vuitton-korea-suffers-cyberattack-as-customer-data-leaked
[15] 「Scattered Spiderとの協業の手がかりの中でShinyHuntersがSalesforceを標的に」, ReliaQuest. 参照日:2025年9月1日. [オンライン]. 入手先: https://reliaquest.com/blog/threat-spotlight-shinyhunters-data-breach-targets-salesforce-amid-scattered-spider-collaboration/
[16] 「VirusTotal – ファイル – 0383c0d109b7cfdef058b0197125c85d276510724be33a746056f9a7c181d761」. 参照日:2025年9月1日. [オンライン]. 入手先: https://www.virustotal.com/gui/file/0383c0d109b7cfdef058b0197125c85d276510724be33a746056f9a7c181d761/
[17] 「Browserstack Integrations」. [オンライン]. 入手先: https://www.browserstack.com/integrations
[18] P. Kelly, 「Scattered Spider:2025年もなお被害者を狩り続ける」, Silent Push. 参照日:2025年8月31日. [オンライン]. 入手先: https://www.silentpush.com/blog/scattered-spider-2025/
