ハニーポットをハッキングしたからといって、マスターハッカーになれるわけではない。
「Scattered Lapsus$ Shiny Hunters」を名乗り、サイバー犯罪の旗を掲げる若いハッカー集団に聞いてみるといい。略してShiny Huntersと呼ばれるこのグループは、大手小売業者、航空会社、保険会社などの大物標的を倒したと喧伝し、甚大な混乱と大きな経済的損害を引き起こしながら、身代金として数千万ドルを稼いできた。
このグループは最近、主張する「戦果」のリストに新たな被害者を加えた。ロサンゼルス拠点の脅威インテリジェンス企業Resecurityだ。同社は約10年にわたり、のちにこのグループの一員となった人物らを追跡し、そのインテリジェンスを法執行機関と共有してきた。
Shiny Huntersは先週末、Telegramで次のように宣言した。「REsecurityのシステムへの完全なアクセスを獲得した」そして、全従業員の氏名とアクセス・トークンの詳細、多数の脅威レポート、同社の全顧客リスト、さらに詳細な将来の事業計画を含む「すべての内部チャットとログ」など、「すべて」を入手したという。
Shiny Huntersにとっての問題が一つある。データ侵害の記録者「Dissent Doe」が最初に報じたとおり、犯罪者たちは罠に落ちたのだ。
ResecurityがInformation Security Media Groupに語ったところによると、「2025年10月頃、当社従業員の一人であるMark Kellyを標的とした不審な活動に気づいた」。これは「高価値標的を模倣しつつ、実資産から隔離された、現実味のある厳重監視のデコイアカウント」の一つで、同社が著名なサイバー犯罪サイトに設置していたものだ。
これを受け、社内チームは「攻撃者の動機と次の行動を観察するため、ハニーポット環境とハニートラップアカウントの用意を含む追加の対応策を策定」し、昨年11月、誘い餌として「『光り物』として機能する廃止済みシステム」を使用したところ、攻撃者が引っかかったという。
これは、主に思春期の若者で構成され、緩やかに組織された集団The Comから派生したとされるこの「天才犯罪者」気取りの面々にとって、まさに自尊心を傷つける出来事だろう(参照:サイバーセキュリティ動向:2026年、防御側に何が待ち受けるのか?)。
ハニーポットが露見した直後、「『Shiny Hunters』(およびその派生)グループの一つに関連するTelegramチャンネルが削除された」。さらに「攻撃者たちは、評判への打撃を消し去ろうとするかのように、メディアに対して『Shiny Hunters』という名称を削除するよう繰り返し連絡してきた」とResecurityは述べた。
The Comおよびその派生グループのメンバーは、運用名を頻繁に変更したり弄ったりしてきた。帰属(アトリビューション)を妨げるため、見出しを狙うため、あるいは防御側の頭を混乱させるための無意味な「6-7」戦術の一環かもしれない(参照:狂人理論が促す、奇妙なScattered Lapsus$ Huntersのプレイブック)。
この集団のTelegramチャンネルの(おそらく)第8版にあたる最新バージョンが消える直前、管理者は「IRDev」にも言及した。これは、以前ShinyHuntersとの関係が指摘されてきた、起訴された米国人John Erin Binns(24)の別名だ。
米連邦の起訴状は、Binnsと同じく米国人のConnor Riley Moucka(25)を、データウェアハウス基盤Snowflakeの顧客165社を狙った2024年の攻撃で起訴した。被害者には、Live Nation EntertainmentのTicketmaster、Santander Bank、Advance Auto Parts、ロサンゼルスの学校、Neiman Marcus、Bausch Health、そしてAT&Tが含まれ、AT&Tは米国顧客のほぼ全員分の通話・SMSメタデータを失った。
セキュリティ研究者によれば、この2人はインフォスティーラーを使って認証情報を入手し、多要素認証のないSnowflake顧客インスタンスにログインしてデータを盗み、身代金を要求した。盗まれた情報は「ShinyHunters」の旗印の下、サイバー犯罪地下市場で販売に出された。
Shiny HuntersがBinnsの別名に言及したことは決定的証拠ではないものの、彼がハッキング界隈で依然として活動しているだけでなく、メンバーの一人である可能性も示唆している。
また、Mouckaが米国当局の拘束下にある一方で(シアトル連邦裁判所での公判は10月19日に予定されている)、IntelSecretsとしても知られるBinnsは、2021年のT-Mobileハッキングで米国が彼を起訴した後、2024年5月に逮捕されたトルコに、なお滞在しているようだという点も思い起こさせる。米国は引き続きBinnsの身柄引き渡しを求めている。
Resecurityによれば、Binnsは他の形でも犯罪活動を行っており、米国の高官や情報コミュニティのメンバーに対する長期的な嫌がらせ(個人データの漏えいを含む)もその一つだという。同社は、彼が作成した多数のメッセージに関するインテリジェンスを蓄積しており、それらには「米国政府職員、国務省関係者、FBI職員への嫌がらせの試み、ならびに誤情報や欺瞞的手口の複数の事例」が含まれていると述べた。
防御技術
どの攻撃に誰が関与しているかにかかわらず、このハニートラップの一件は、巧妙な脅威アクターが探りを入れ始めた際に警報を鳴らすための有効な対諜報プログラムの一部として、欺瞞技術を活用できることを示している。これには、インフォスティーラーで入手した認証情報の再利用も含まれる。
Scattered Lapsus$ Shiny Huntersは、同じ戦術・技術・手順(TTP)を繰り返し用い、同一セクター内の多数の組織に対して試みてきた。グループが同じTTPに依存するほど、足元をすくう機会は増える可能性がある。
Resecurityは、2025年12月24日付のブログ投稿で、組織がこの手法を迅速に導入するための戦略を詳述し、Office 365とVPNツールはいずれも「エミュレート環境」を構築し、「悪意あるアクターを違法行為へと誘引し得る偽情報で満たす」ための有用な組み込み機能を提供し、防御側に「動機や戦術に関する洞察」を与えると述べた。
ただし、どんな古いシステムやデータでもよいわけではない。同社はハニーポット環境を構築するにあたり、「合成データ、実行不能(無価値)データ、そして廃止済みシステム由来の情報を、会話ログ(チャッター)と組み合わせて使用した。これが悪意あるアクターにとって十分に興味深く見え、ログインして自らを記録するに至った」と述べた。
つまり同社が言うには、技術的なミスにより、プロキシを使おうとしていたにもかかわらず、攻撃者は(それ自体が犯罪となり得る)ハニーポットにログインしただけでなく、数千件に及ぶ偽レコードをダウンロードしようとする過程で、海外にある自身の実IPアドレスを誤って露呈してしまったという。同社はこの情報を関係する法執行機関と共有したとしている。
犯罪者を欺く欺瞞者たちを(彼らがどこにいようとも)欺くだけでなく、場合によってはその正体を暴くことができるなら、なおさらだ。
翻訳元: https://www.databreachtoday.com/blogs/deception-tech-snares-shiny-hunter-attackers-ip-address-p-4021
