サイバー犯罪グループがボイスフィッシング攻撃の犯行を主張 Google利用環境など標的に
Oktaのセキュリティ研究者は、カスタマイズされたフィッシングキットを使用したソーシャルエンジニアリング攻撃キャンペーンが広がっていることを公表した。そのうち5件がサイバー犯罪グループ「ShinyHunters」の犯行だと同グループが主張した。
サイバー犯罪グループ「ShinyHunters」は、ID管理サービスを提供するOktaのセキュリティ研究者たちが以前に公表していたボイスフィッシング攻撃キャンペーンのうちの5件について、自らの犯行であると主張している。
ボイスフィッシング攻撃の標的と概要
Oktaは2026年1月22日(現地時間、以下同)、カスタマイズされたフィッシングツールを用いたボイスフィッシングにより、GoogleやMicrosoft、Oktaの利用環境を狙うソーシャルエンジニアリング攻撃が実行されていると警告した(注1)。
フィッシングキットは、ユーザーの認証情報を傍受できるほか、標的となったユーザーをだまして多要素認証をスキップさせる機能を備えているという。
セキュリティ研究者のアロン・ガル氏は、Cybersecurity Diveに対し、2026年1月19日の週にShinyHuntersから連絡を受けたことを明らかにした。その連絡には、ボイスフィッシング攻撃を活用して、少なくとも3社から金銭を脅し取ったという主張が含まれていたようだ(注2)。3社に関する具体的な社名も挙げられていたが、現在Cybersecurity Diveは、それが事実かどうかを各社に確認している。
最初の接触があったのは、ITニュースサイト「Bleeping Computer」がOktaの公表内容に関する記事を掲載した後だ。報道によると、攻撃ではOktaのシングルサインオン(SSO)アカウントが標的にされていたという(注3)。
2026年1月26日になり、ガル氏は「主張の対象が現在は5社に拡大している」と述べた。
サイバーセキュリティ事業を営むSophosの研究者たちは、Cybersecurity Diveに対し、「2025年12月に作成され、データ窃取や金銭の恐喝要求につながるボイスフィッシング攻撃に使用されている約150件のドメイン群を追跡している」と語った。
SophosのCounter Threat Unitで脅威インテリジェンスを担当するレイフ・ピリング氏(ディレクター)は、Cybersecurity Diveに対し次のように語った。
「全てが実際に使用されたかどうかは確認できていないが、攻撃者は標的ごとに専用のドメインを作成している。これらのドメインはシングルサインオンのサービスを装ったテーマになっており、Oktaのような認証プロバイダーになりすましている」
Google Threat Intelligence Group(GTIG)の研究者たちは、この脅威活動を追跡していることを確認した。2026年1月26日には、GTIGのインシデント対応部門であるMandiantが、脅威活動に関する追加の詳細を明らかにしている。
Mandiant Consultingのチャールズ・カーマカル氏(最高技術責任者)は、Cybersecurity Diveに対して次のように語った。
「Mandiantは、ShinyHuntersの名を語る新たな進行中の攻撃キャンペーンを追跡している。キャンペーンでは、進化したボイスフィッシングの手法を用いて、被害組織からシングルサインオン(SSO)の認証情報が不正に取得されている。攻撃者は、管理するデバイスを被害組織の多要素認証(MFA)システムに登録することに成功した」
カーマカル氏によると、脅威活動は現在も活発に継続しているという。攻撃者は最初の侵入に成功した後、SaaS環境へと横展開し、被害組織のシステムから機密データを窃取した。また、ShinyHuntersを名乗るハッカーが、標的となった一部の組織に対して金銭を要求している。
Mandiantは、組織に対し、FIDO2セキュリティキーやパスキーなど、フィッシング耐性のある多要素認証へ切り替えることを推奨している。管理者は、アプリケーション認可に対するストライクポリシーを有効にし、通常とは異なるAPIの動きや、承認されていないデバイス登録がないかログを監視すべきだとした。またMandiantは、リスクは特定のベンダーのセキュリティ脆弱(ぜいじゃく)性やインフラの問題に起因するものではないと指摘している。
Googleの広報担当者は「今回のソーシャルエンジニアリング攻撃キャンペーンによって、Googleおよび同社の製品はいずれも影響を受けていない」と述べた。
出典:Cybercrime group claims credit for voice phishing attacks(Cybersecurity Dive)
注1:Phishing kits adapt to the script of callers(Okta)
注2:Alon Gal(Linkedin)
注3:Okta SSO accounts targeted in vishing-based data theft attacks(BleepingComputer)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 無料、GPU不要、高精度 国会図書館が作ったOCRツールを触って試す【実践レビュー】
- コーディングAIはたくさんあるのに、開発者が「やっぱりClaude」と言うワケ:870th Lap
- シャドーAIの典型例は「私物スマホでチャッピー」? 利用実態を徹底調査
- 東日本大震災発生時、なぜ安否確認システムは役に立たなかったのか
- 松尾豊氏が提言する生成AI活用で日本が次のステップに進むための一手とは
- コレだけは覚えておきたい「Excel関数」 よく使う&意外と使うものを集めてみた
- 石井食品、脱AS/400への「4つの戦略」 30年の安定稼働を捨てたレガシー刷新の記録
- PC高騰、いつまで続く? IDCアナリストに聞く値上げ時代の賢いPC調達術
- 「2026年は脱MySQLすべき」エンジニアたちが突然騒ぎ出したワケ:864th Lap
- 情シスがセキュリティ提案を通すための2つのポイント 経営者とのギャップを解消するには
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。