TokyoBlackHatNews

darkreading.com 5分で読了

Google、ShinyHuntersのSalesforce戦術を明らかに

Rob Wright、シニアニュースディレクター、Dark Reading

2025年10月2日

読了時間:4分

Image

出典:Fran Rodriguez(Alamy Stock Photo経由)

さらなるSalesforce侵害の脅威が迫る中、同様の攻撃を経験しているGoogleは、UNC6040に対する防御強化を組織に呼びかけている。

火曜日のブログ投稿で、Mandiantは悪名高い脅威キャンペーンについての洞察を提供し、企業がSalesforceだけでなく他のクラウド資産も保護するための積極的な強化策を提案した。投稿では、Mandiantのインシデント対応担当者がUNC6040によるSalesforceインスタンスの「繰り返しの成功」について掘り下げ、Googleを含む、電話を使ったソーシャルエンジニアリング、いわゆるビッシング攻撃によるものだと述べている。

「この手法は、特に多国籍企業の英語圏支社の従業員を騙し、攻撃者にアクセス権を与えたり、機密認証情報を共有させたりすることで、最終的に組織のSalesforceデータの窃取を可能にする点で非常に効果的であることが証明されています」とブログ投稿は述べている。「観測されたすべてのケースで、攻撃者はSalesforce自体の脆弱性を悪用するのではなく、エンドユーザーを操作することに依存していました。」

Googleの脅威インテリジェンスチーム(GTIG)が以前に記録したように、脅威アクターは標的となる従業員に改ざんされた非公式のSalesforce Data Loaderアプリを使うよう説得し、UNC6040が顧客のSalesforce環境から機密データにアクセス・流出させることを可能にしている。これらの侵害の後、身代金要求が続き、最初の侵入から数か月後に発生することもある。これらの攻撃の責任を主張しているShinyHuntersサイバー犯罪グループの一員を名乗る者からの要求である。

危険なのはSalesforceデータだけではないとMandiantは警告する。Salesforceインスタンスを侵害した後、脅威アクターは被害者のネットワークや他のクラウドプラットフォーム(OktaやMicrosoft 365など)を横断的に移動するための認証情報を収集する。

UNC6040のソーシャルエンジニアリング戦術への防御

Mandiantの推奨事項の多くは、ShinyHuntersやScattered Spiderのようなサイバー犯罪グループが標的を巧妙にソーシャルエンジニアリングする能力を示していることから、本人確認の徹底に関するものである。そのため、Mandiantは組織に対し、発信者の身元を鵜呑みにせず、複数の認証方法を組み合わせて実施するよう促している。

したがって、組織は社会保障番号、生年月日、上司の名前など、公開情報や簡単に特定できる識別子の使用を避けるべきである。代わりに、Mandiantは「最も信頼できる方法」としてライブビデオによる本人確認を推奨している。

ビデオ通話で接続後、ヘルプデスク担当者は本人に有効な企業バッジまたは政府発行の写真付き身分証明書を顔の横に提示するよう求めるべきである。担当者は、本人とIDの視覚的な一致、名前の一致を確認するだけでなく、社内の身分証明システムに登録されている写真とも照合する必要がある。

またMandiantは、本人からのリクエストに対応する前に、ヘルプデスク担当者が発信者のカレンダーステータスを確認し、オフィス外や休暇中でないことを確かめるべきだと述べている。多要素認証(MFA)のリセットなど高リスクのリクエストの場合、組織はさらに一歩進んで、登録済みの電話番号への発信や上司への確認など、アウトオブバンド(OOB)認証レイヤーを適用することを推奨している。

ShinyHuntersによるサードパーティアクセスの狙い

Mandiantは、UNC6040がビッシング通話で用いた2つの具体的な戦術を強調している。1つ目は、サードパーティベンダーのサポート担当者になりすまし、標的組織のリソースへのアクセスを要求する方法である。「いかなる状況でもヘルプデスクはアクセスを許可してはならない」とMandiantは警告し、組織の標準的な認証原則がこのような状況には当てはまらない可能性があると付け加えた。

代わりに、ヘルプデスク担当者は発信者に情報を一切与えずに電話を切り、該当するサードパーティの指定アカウントマネージャーに連絡し、「明示的な認証」を求めるべきである。

Mandiantのインシデント対応チームはまた、UNC6040が組織内のSaaSアプリケーションへの権限が高いユーザーを狙っていることも観測している。通常、脅威アクターはベンダーやサポート担当者になりすまし、ユーザーに特定アプリケーションのログインを促すリンクをクリックさせ、認証情報を窃取する。

サードパーティからのリクエストに対する認証手順には、通話を終了し指定アカウントマネージャーに連絡すること、公式サポートポータルでチケットを提出させること、サポートシステムで確認できる有効なチケット番号の提示を求めることが含まれるべきである。

「組織はまた、エンドユーザーが不審な連絡を報告するための明確でアクセスしやすいプロセスを提供し、この報告手段をすべてのセキュリティ啓発活動に含めるべきです」とMandiantは記している。

UNC6040の戦術が最近の攻撃の公表を受けて変化したかどうかは不明である。Dark ReadingはGoogleにコメントを求めたが、記事執筆時点で回答はなかった。

Mandiantは、シングルサインオン(SSO)プロバイダーの利用や、FIDO 2物理キーによるフィッシング耐性MFAの導入など、他の強化策も提案している。また、組織に対しては動的認証ポリシーの実装や、アカウント侵害を示唆するリスクの高い・不審なユーザー行動の監視も推奨している。

翻訳元: https://www.darkreading.com/threat-intelligence/google-sheds-light-shinyhunters-salesforce-tactics

ソース: darkreading.com
#AI Cloud Security #Credential Theft #Google Mandiant #phishing resistance #Salesforce #ShinyHunters #Social Engineering #Third-Party Access #UNC6040 #Vishing

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開