研究者および犯罪グループ自身によると、ShinyHuntersは最新のOktaシングルサインオン(SSO)認証情報窃取キャンペーンで約100の組織を標的にした。
月曜日の報告書で、Silent Pushの研究者は、このID窃取作戦が「高価値企業」における100を超えるOkta SSOアカウントを狙ったと述べた。サイバー脅威ハンターはまた、過去30日間に「貴社ドメインに向けたアクティブな標的化、またはインフラ準備を検知した」企業の一覧も挙げた。
すべての社名を列挙することはしない――複数の業界にまたがる組織についてはSilent Pushのブログを参照してほしい――が、テクノロジーおよびソフトウェア企業にはAtlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、Iron Mountain、RingCentral、ZoomInfoが含まれる。
念のため明確にしておくと、これはこれらの企業のいずれかが侵害されたことを意味するものではない。「特定の攻撃に関して共有できるインテリジェンスはなく、成功したかどうかも確認できない」と、Silent Pushのシニア脅威研究者ザック・エドワーズ氏はThe Registerに語った。「公開ブログに掲載した組織が標的にされたと私たちは考えている。」
ShinyHuntersは、Okta SSO認証情報を用いて侵害した企業数や、このキャンペーンで標的にした数を明らかにしなかったが、100という数字は「近い」とThe Registerに述べた。
GoogleのMandiantチームも月曜日、「ShinyHuntersブランドの新たな進行中キャンペーンを追跡している」と確認した。Mandiant ConsultingのCTOであるチャールズ・カーマカル氏はThe Registerに対し、これは「進化した」音声フィッシング手法を用いて「被害組織からSSO認証情報を侵害し、攻撃者が制御するデバイスを被害者のMFAソリューションに登録する」と語った。
「これは現在も継続しているアクティブなキャンペーンだ。初期アクセスを得た後、これらの攻撃者はSaaS環境へと横展開し、機微データを持ち出す」と同氏は続けた。「ShinyHuntersを名乗る人物が、被害組織の一部に対して恐喝要求を持ちかけている。」
カーマカル氏はさらに、これらのID攻撃は製品やインフラのセキュリティ欠陥によって引き起こされているわけではないものの、Mandiantは組織に対し、FIDO2セキュリティキー(YubiKeyなど)やパスキーといったフィッシング耐性のある多要素認証(MFA)の利用を「強く」推奨すると付け加えた。
「これらの防御は、プッシュ型やSMS認証では不可能な形で、ソーシャルエンジニアリング攻撃に耐性がある」と同氏は述べた。「管理者は厳格なアプリ認可ポリシーも実装し、異常なAPIアクティビティや不正なデバイス登録がないかログを監視すべきだ。」
この最新のShinyHuntersキャンペーンは、犯罪者が音声フィッシングでSSO認証情報を入手し、それを使って組織のアカウントを狙っているとしてOktaが警告を発したことを受け、先週明るみに出た。Oktaは木曜日のブログ以上のコメントを控えた。
金曜日、ShinyHuntersはThe Registerに対し、このキャンペーンの背後にいるのは自分たちだと述べ、Oktaのシングルサインオンコードを音声フィッシングしてCrunchbaseとBettermentへのアクセスを得たと主張した。犯罪者らはまた、Bettermentに属するとする2,000万件超のレコードと、Crunchbaseに属するとする200万件のレコードを漏えいさせた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/26/shinyhunters_okta_sso_campaign/
