アクセスを目的としたビッシング: ShinyHunters を標榜する SaaS データ窃取の拡大を追跡
Mandiant
Google Threat Intelligence
Visibility and context on the threats that matter most.
Contact Us & Get a Demo※この投稿は米国時間 2026 年 1 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。
はじめに
Mandiant は、以前の ShinyHunters の名のもとで行われる恐喝行為と一致する戦術、手法、手順(TTP)を使用する脅威活動の拡大を確認しました。これらの行為では主に、高度な音声フィッシング(ビッシング)と被害組織のブランドを模倣した認証情報収集サイトを利用して、シングル サインオン(SSO)の認証情報と多要素認証(MFA)コードが取得され、企業環境への初期アクセスを獲得されます。侵入に成功すると、脅威アクターはクラウドベースの Software as a Service(SaaS)アプリケーションを標的として、機密データや社内コミュニケーションを盗み出し、その後の恐喝に利用します。
Google Threat Intelligence Group(GTIG)は現在、複数の脅威クラスタ(UNC6661、UNC6671、UNC6240)の下でこの活動を追跡し、進化するパートナーシップをより詳細に理解し、なりすましの可能性のある活動を把握しています。ID プロバイダと SaaS プラットフォームを標的とするこの手法は、ShinyHunters の名のもとで行われる恐喝に先立つ脅威活動に関する以前の観察結果と一致していますが、これらの脅威アクターが恐喝のためにさらに機密性の高いデータを探しているため、標的となるクラウド プラットフォームの範囲は拡大し続けています。さらに、最近のインシデントでは、被害組織の担当者に対するハラスメントなどの戦術が用いられており、恐喝戦術がエスカレートしているようです。
この活動は、ベンダーのプロダクトやインフラストラクチャのセキュリティ脆弱性を原因とするものではなく、引き続きソーシャル エンジニアリングの有効性を浮き彫りにするものであり、組織が可能な限りフィッシングに強い MFA に移行することの重要性を強調しています。FIDO2 セキュリティ キーやパスキーなどの手法は、プッシュベース認証や SMS 認証とは異なり、ソーシャル エンジニアリングに耐性があります。
Mandiant は、予防的なセキュリティ強化策と検出に関する推奨事項を記載した包括的なガイドも公開しています。また、Google は、Google Security Operations 内でこれらの調査結果を運用化するための詳細なチュートリアルを公開しています。
図 1: 攻撃経路図
UNC6661 によるビッシングと認証情報の窃取活動
2026 年 1 月上旬から中旬にかけて発生したインシデントでは、UNC6661 は IT スタッフを装って標的の被害組織の従業員に電話をかけ、会社が MFA 設定を更新しようとしていると伝えました。脅威アクターは、従業員を被害組織のブランドを模倣した認証情報収集サイトに誘導して SSO 認証情報と MFA コードを収集し、その後、自分のデバイスを MFA に登録しました。UNC6661 に帰属する認証情報収集ドメインは、通常、<companyname>sso.com または <companyname>internal.com の形式を使用していますが、これに限定されるわけではありません。また、多くの場合 NICENIC で登録されています。
少なくとも一部のケースでは、脅威アクターは Okta の顧客のアカウントにアクセスしました。Okta は、ID プロバイダと暗号通貨プラットフォームを標的としたフィッシング キットと、その後のビッシング攻撃に関するレポートを公開しました。この活動は複数の脅威クラスタに関連付けられていますが、少なくとも一部の活動は、GTIG が追跡している ShinyHunters を名乗る活動と重複しているようです。
初期アクセスに成功した後、UNC6661 は被害を受けた顧客環境でラテラル ムーブメントを行い、さまざまな SaaS プラットフォームからデータを盗み出しました(ログの例は図 2~5 にあります)。特定の組織やユーザーが標的となっているのは意図的ですが、分析によると、これらのプラットフォームへのその後のアクセスは、個々の侵害された SSO セッションを介してアクセスできる特定の権限やアプリケーションによって決定される、日和見的なものである可能性が高いと考えられます。これらの侵害は、ベンダーのプロダクトやインフラストラクチャのセキュリティ脆弱性を原因するものではありません。
特定の種類の情報を標的としているように見える場合もあります。たとえば、脅威アクターはクラウド アプリケーションで「poc」、「confidential」、「internal」、「proposal」、「salesforce」、「vpn」などの特定のテキストを含むドキュメントを検索したり、Salesforce に保存されている個人情報(PII)を標的にしたりしています。さらに、ShinyHunters を標榜するデータ漏洩サイト(DLS)のエントリに記載された主張に基づくと、UNC6661 は一部の被害組織の環境で Slack データを標的にした可能性もあります。
{
"AppAccessContext": {
"AADSessionId": "[REDACTED_GUID]",
"AuthTime": "1601-01-01T00:00:00",
"ClientAppId": "[REDACTED_APP_ID]",
"ClientAppName": "Microsoft Office",
"CorrelationId": "[REDACTED_GUID]",
"TokenIssuedAtTime": "1601-01-01T00:02:56",
"UniqueTokenId": "[REDACTED_ID]"
},
"CreationTime": "2026-01-10T13:17:11",
"Id": "[REDACTED_GUID]",
"Operation": "FileDownloaded",
"OrganizationId": "[REDACTED_GUID]",
"RecordType": 6,
"UserKey": "[REDACTED_USER_KEY]",
"UserType": 0,
"Version": 1,
"Workload": "SharePoint",
"ClientIP": "[REDACTED_IP]",
"UserId": "[REDACTED_EMAIL]",
"ApplicationId": "[REDACTED_APP_ID]",
"AuthenticationType": "OAuth",
"BrowserName": "Mozilla",
"BrowserVersion": "5.0",
"CorrelationId": "[REDACTED_GUID]",
"EventSource": "SharePoint",
"GeoLocation": "NAM",
"IsManagedDevice": false,
"ItemType": "File",
"ListId": "[REDACTED_GUID]",
"ListItemUniqueId": "[REDACTED_GUID]",
"Platform": "WinDesktop",
"Site": "[REDACTED_GUID]",
"UserAgent": "Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.20348.4294",
"WebId": "[REDACTED_GUID]",
"DeviceDisplayName": "[REDACTED_IPV6]",
"EventSignature": "[REDACTED_SIGNATURE]",
"FileSizeBytes": 31912,
"HighPriorityMediaProcessing": false,
"ListBaseType": 1,
"ListServerTemplate": 101,
"SensitivityLabelId": "[REDACTED_GUID]",
"SiteSensitivityLabelId": "",
"SensitivityLabelOwnerEmail": "[REDACTED_EMAIL]",
"SourceRelativeUrl": "[REDACTED_RELATIVE_URL]",
"SourceFileName": "[REDACTED_FILENAME]",
"SourceFileExtension": "xlsx",
"ApplicationDisplayName": "Microsoft Office",
"SiteUrl": "[REDACTED_URL]",
"ObjectId": "[REDACTED_URL]/[REDACTED_FILENAME]"
}図 2: SharePoint / M365 ログの例
"Login","20260120163111.430","SLB:[REDACTED]","[REDACTED]","[REDACTED]","192","25","/index.jsp","","1jVcuDh1VIduqg10","Standard","","167158288","5","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/IP_ADDRESS_REMOVED Safari/537.36","","9998.0","user@[REDACTED_DOMAIN].com","TLSv1.3","TLS_AES_256_GCM_SHA384","","https://[REDACTED_IDP_DOMAIN]/","[REDACTED].my.salesforce.com","CA","","","0LE1Q000000LBVK","2026-01-20T16:31:11.430Z","[REDACTED]","76.64.54[.]159","","LOGIN_NO_ERROR","76.64.54[.]159",""図 3: Salesforce ログの例
{
"Timestamp": "2026-01-21T12:5:2-03:00",
"Timestamp UTC": "[REDACTED]",
"Event Name": "User downloads documents from an envelope",
"Event Id": "[REDACTED_EVENT_ID]",
"User": "[REDACTED]@example.com",
"User Id": "[REDACTED_USER_ID]",
"Account": "[REDACTED_ORG_NAME]",
"Account Id": "[REDACTED_ACCOUNT_ID]",
"Integrator Key": "[REDACTED_KEY]",
"IP Address": "73.135.228[.]98",
"Latitude": "[REDACTED]",
"Longitude": "[REDACTED]",
"Country/Region": "United States",
"State": "Maryland",
"City": "[REDACTED]",
"Browser": "Chrome 143",
"Device": "Apple Mac",
"Operating System": "Mac OS X 10",
"Source": "Web",
"DownloadType": "Archived",
"EnvelopeId": "[REDACTED_ENVELOPE_ID]"
}図 4: DocuSign ログの例
脅威アクターが Okta の顧客のアカウントにアクセスしたインシデントが少なくとも 1 件発生しており、UNC6661 は被害者の Google Workspace アカウントで ToogleBox Recall アドオンを有効にしました。これは、メールを検索して完全に削除するように設計されたツールです。その後、Okta からの「セキュリティメソッドが登録されました」メールを削除しました。これは、自分のアカウントが新しい MFA デバイスに関連付けられたことをその従業員が特定できないようにするためであると考えられます。
{
"Date": "2026-01-11T06:3:00Z",
"App ID": "[REDACTED_ID].apps.googleusercontent.com",
"App name": "ToogleBox Recall",
"OAuth event": "Authorize",
"Description": "User authorized access to ToogleBox Recall for specific Gmail and Apps Script scopes.",
"User": "user@[REDACTED_DOMAIN].com",
"Scope": "https://www.googleapis.com/auth/gmail.addons.current.message.readonly, https://www.googleapis.com/auth/gmail.addons.execute, https://www.googleapis.com/auth/script.external_request, https://www.googleapis.com/auth/script.locale, https://www.googleapis.com/auth/userinfo.email",
"API name": "",
"Method": "",
"Number of response bytes": "0",
"IP address": "149.50.97.144",
"Product": "Gmail, Apps Script Runtime, Apps Script Api, Identity, Unspecified",
"Client type": "Web",
"Network info": "{\n \"Network info\": {\n \"IP ASN\": \"201814\",\n \"Subdivision code\": \"\",\n \"Region code\": \"PL\"\n }\n}"
}図 5: ToogleBox Recall 認証ログエントリの例
少なくとも 1 件のケースでは、最初のデータ窃取を行った後、UNC6661 は新たに取得した侵害済みメール アカウントへのアクセスを使用して、暗号通貨に特化した企業の連絡先にフィッシング メールを追加で送信しました。その後、脅威アクターは送信メールを削除しました。これは、悪意のあるアクティビティをわかりにくくしようとしたものと考えられます。
GTIG は、UNC6661 の侵入に続く恐喝活動を UNC6240 によるものと特定しています。その根拠は、交渉に共通の Tox アカウントを使用していること、ShinyHunters を標榜する恐喝メール、盗み出したデータのサンプルをホストするための Limewire など、重複する部分がいくつかあることです。2026 年 1 月中旬に UNC6240 が送信した恐喝メールでは、同グループが盗んだとされるデータの概要が示され、支払い金額と宛先の BTC アドレスが明記されていました。また、72 時間以内に身代金が支払われなかった場合の脅迫も記載されており、これは以前の恐喝メールと一致しています(図 6)。また、Limewire にホストされているサンプルを介してデータ窃取の証拠も提示されました。GTIG は、従業員に送信された恐喝テキスト メッセージも確認しており、被害者のウェブサイトが分散型サービス拒否攻撃(DDoS)の標的になったという報告も受けています。
特に、2026 年 1 月下旬には、「SHINYHUNTERS」という ShinyHunters を名乗る新しい DLS が出現し、最近の恐喝行為で侵害された可能性のある被害者が複数リストアップされました。DLS には、以前 UNC6240 に関連するとされた連絡先情報(shinycorp@tutanota[.]com、shinygroup@onionmail[.]com)も記載されています。
図 6: ランサムノートの抜粋
UNC6671 による同様の活動
さらに、2026 年 1 月上旬以降、UNC6671 は IT スタッフを装ってビッシング行為を行い、被害者に認証情報と MFA 認証コードを被害組織のブランドを模倣した認証情報窃取サイトに入力するよう指示しています。認証情報を収集するドメインは UNC6661 と同じ構造を使用していましたが、Tucows を使用して登録されることが多くなりました。少なくとも一部のケースでは、脅威アクターが Okta の顧客のアカウントにアクセスしています。Mandiant は、UNC6671 が PowerShell を利用して SharePoint と OneDrive から機密データをダウンロードした証拠も確認しています。これらの TTP の多くは UNC6661 と一致していますが、UNC6671 の活動に起因する恐喝メールはその正体を示唆する情報がなく、その後の連絡には別の Tox ID が使用されていました。脅威アクターは、UNC6671 の侵入後、被害組織の職員に対するハラスメントなど、攻撃的な恐喝戦術を採用しました。恐喝の手口とドメイン登録機関の違いは、これらの活動には別々の個人が関与している可能性があることを示唆しています。
修復とセキュリティ強化策
Mandiant は、予防的なセキュリティ強化策と検出に関する推奨事項を記載した包括的なガイドを公開しています。
見通しと影響
この最近の活動は、UNC6240 に関連する以前の活動と類似しています。UNC6240 は、初期アクセスにビッシングを頻繁に使用し、Salesforce データを標的としています。しかし、標的となるクラウド プラットフォームの数と種類が増加していることは、関連する脅威アクターが恐喝行為のために、より多くの機密データを収集するよう活動内容を変更していることを示唆しています。さらに、侵害済みアカウントを使用して暗号通貨関連の組織にフィッシング メールを送信していることは、関連する脅威アクターが潜在的な被害者との関係を構築し、アクセスを拡大したり、他の後続の活動を行ったりしている可能性を示唆しています。特に、この活動は組織ではなく個人を標的としているように見えるため、運用上は区別されるようです。
セキュリティ侵害インジケーター(IoC)
このブログ投稿で概要が説明されている活動をコミュニティ全体でハンティングおよび特定できるように、登録ユーザー向けにセキュリティ侵害インジケーター(IOC)を GTI コレクションに含めました。
フィッシング ドメインのおとりパターン
これらのクラスタに関連する脅威アクターは、正規の企業ポータルを模倣する目的で作られたドメインを頻繁に登録しています。公開時点で、特定されたすべてのフィッシング ドメインが Chrome セーフ ブラウジングに追加されています。これらのドメインは通常、組織名のバリエーションを使用した特定の命名規則に従っています。
ネットワーク インジケーター
このキャンペーンで特定されたネットワーク インジケーターの多くは、Mullvad、Oxylabs、NetNut、9Proxy、Infatica、nsocks などの商用 VPN サービスや住宅用プロキシ ネットワークに関連付けられています。Mandiant は、組織がこれらのインジケーターを広範なブロックに使用する際には注意を払い、環境内でのハンティングと相関分析にそれらのインジケーターを優先的に使用することをおすすめします。
Google Security Operations
Google Security Operations のお客様は、Okta、Cloud Hacktool、O365 の各ルールパックで、これらの幅広いカテゴリのルールやその他のルールにアクセスできます。Google Security Operations 内でこれらの調査結果を運用化するためのチュートリアルについては、このシリーズの第 3 部をご覧ください。このブログ投稿で取り上げた活動は、Google Security Operations において以下のルール名で検出されます。
-
Okta 管理コンソールへのアクセス失敗
-
Okta 特権管理者または組織管理者のアクセス権付与
-
Okta 匿名化された IP からの不審なアクション
-
Okta ユーザーに割り当てられた管理者ロール
-
O365 SharePoint PowerShell を使用したファイルの一括アクセスまたはダウンロード
-
O365 SharePoint 大量のファイル アクセス イベント
-
O365 SharePoint 大量のファイル ダウンロード イベント
-
O365 SharePoint 専有情報または機密情報に関するクエリ
-
O365 MFA 変更通知メールの削除
-
Workspace ToogleBox Recall OAuth アプリケーション承認
$e.metadata.product_name = "Okta"
$e.metadata.product_event_type = /\.(add|update_|(policy.rule|zone)\.update|create|register|(de)?activate|grant|reset_all|user.session.access_admin_app)$/
(
$e.security_result.detection_fields["anonymized IP"] = "true" or
$e.extracted.fields["debugContext.debugData.tunnels"] = /\"anonymous\":true/
)
$e.security_result.action = “ALLOW”図 7: 匿名化された IP から実行された不審な Okta アクションを検出するハンティング クエリ
$e.metadata.vendor_name = "Google Workspace"
$e.metadata.event_type = "USER_RESOURCE_ACCESS"
$e.metadata.product_event_type = "authorize"
$e.target.resource.name = /ToogleBox Recall/ nocase図 8: ToggleBox Recall の Google Workspace 認証イベントを検出するハンティング クエリ
$e.principal.ip_geo_artifact.network.organization_name = /mullvad.vpn|oxylabs|9proxy|netnut|infatica|nsocks/ nocase or
$e.extracted.fields["debugContext.debugData.tunnels"] = /mullvad.vpn|oxylabs|9proxy|netnut|infatica|nsocks/ nocase図 9: このキャンペーンで確認された不審な VPN / プロキシ サービスを検出するクエリ
$e.network.http.user_agent = /Geny\s?Mobile/ nocase
$event.security_result.action != "BLOCK"図 10: このキャンペーンで確認された不審なユーザー エージェント文字列を検出するハンティング クエリ
$e.metadata.log_type = "OFFICE_365"
($e.metadata.product_event_type = "FileDownloaded" or $e.metadata.product_event_type = "FileAccessed")
(
$e.target.application = "SharePoint" or
$e.principal.application = "SharePoint"
)
$e.network.http.user_agent = /PowerShell/ nocase図 11: ユーザー エージェントが PowerShell として識別される SharePoint からのプログラムによるファイル アクセスまたはダウンロードを検出するハンティング クエリ
events:
$e.metadata.log_type = "OFFICE_365"
$e.metadata.product_event_type = "FileAccessed"
(
$e.target.application = "SharePoint" or
$e.principal.application = "SharePoint"
)
$e.target.file.full_path = /\.(doc[mx]?|xls[bmx]?|ppt[amx]?|pdf)$/ nocase
$file_extension_extract = re.capture($e.target.file.full_path, `\.([^\.]+)$`)
$event.security_result.action != "BLOCK"
$session_id = $e.network.session_id
match:
$session_id over 5m
outcome:
$target_url_count = count_distinct(strings.coalesce($e.target.file.full_path))
$extension_count = count_distinct($file_extension_extract)
condition:
$e and $target_url_count >= 50 and $extension_count >= 3図 12: SharePoint からの大量のドキュメント ファイル アクセスを検出するハンティング クエリ
events:
$e.metadata.log_type = "OFFICE_365"
$e.metadata.product_event_type = "FileDownloaded"
(
$e.target.application = "SharePoint" or
$e.principal.application = "SharePoint"
)
$e.target.file.full_path = /\.(doc[mx]?|xls[bmx]?|ppt[amx]?|pdf)$/ nocase
$file_extension_extract = re.capture($e.target.file.full_path, `\.([^\.]+)$`)
$event.security_result.action != "BLOCK"
$session_id = $e.network.session_id
match:
$session_id over 5m
outcome:
$target_url_count = count_distinct(strings.coalesce($e.target.file.full_path))
$extension_count = count_distinct($file_extension_extract)
condition:
$e and $target_url_count >= 50 and $extension_count >= 3図 13: SharePoint からの大量のドキュメント ファイル ダウンロードを検出するハンティング クエリ
$e.metadata.log_type = "OFFICE_365"
$e.metadata.product_event_type = "SearchQueryPerformed"
$e.additional.fields["search_query_text"] = /\bpoc\b|proposal|confidential|internal|salesforce|vpn/ nocase図 14: 目的の文字列の SharePoint クエリを検出するハンティング クエリ
$e.metadata.log_type = "OFFICE_365"
$e.target.application = "Exchange"
$e.metadata.product_event_type = /^(SoftDelete|HardDelete|MoveToDeletedItems)$/ nocase
$e.network.email.subject = /new\s+(mfa|multi-|factor|method|device|security)|\b2fa\b|\b2-Step\b|(factor|method|device|security|mfa)\s+(enroll|registered|added|change|verify|updated|activated|configured|setup)/ nocase
// filtering specifically for new device registration strings
$e.network.email.subject = /enroll|registered|added|change|verify|updated|activated|configured|setup/ nocase
// tuning out new device logon events
$e.network.email.subject != /(sign|log)(-|\s)?(in|on)/ nocase図 15: O365 Exchange による MFA 変更通知メールの削除を検出するハンティング クエリ
