通話の代償: ビッシングから始まるデータ恐喝

※この投稿は米国時間 2025 年 6 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。

はじめに

Google Threat Intelligence グループ（GTIG）は UNC6040 を追跡しています。UNC6040 は、組織の Salesforce インスタンスを侵害して大規模なデータ窃取とその後の恐喝を目的として特別に設計された音声フィッシング（ビッシング） キャンペーンを専門とする、金銭目的の脅威クラスタです。過去数か月間、UNC6040 は IT サポート担当者になりすまして電話によるソーシャル エンジニアリング攻撃を仕掛け、ネットワークへの侵入を相次いで成功させています。このアプローチは、従業員（多くの場合、多国籍企業の英語圏の支社に勤務する者）を騙して攻撃者にアクセス権を付与させたり、機密性の高い認証情報を共有させたりして組織の Salesforce データを盗みやすくするのに特に効果的であることが証明されています。これまでに観測されたすべてのケースで、攻撃者は Salesforce 固有の脆弱性を悪用するのではなく、エンドユーザーを操作する方法を使用していました。

UNC6040 の活動でよく見られる戦術は、被害者を欺いて組織の Salesforce ポータルに悪意のある接続アプリケーションを承認させる、といったものです。このアプリケーションは Salesforce のデータローダを修正したものである場合が多く、Salesforce の未承認のものです。ビッシング通話中、攻撃者は被害者を Salesforce の接続アプリケーション設定ページに誘導し、正規バージョンとは異なる名前やブランドのデータローダ アプリケーションのバージョンを承認させます。この手順を踏んでしまうと、侵害された Salesforce のお客様の環境から直接機密情報にアクセスし、クエリを実行して盗み出すための重要な機能を、UNC6040 に誤って付与してしまいます。悪意のある接続アプリケーションを介してデータローダの機能を悪用するこの手法は、Salesforce がこのような脅威から Salesforce 環境を保護するためのガイダンスで詳しく説明している最近の所見と一致しています。

UNC6040 の最初の侵入活動から数か月経過するまで恐喝活動が確認されなかった事例もあり、これは UNC6040 が盗んだデータへのアクセスを収益化する別の脅威アクターと提携している可能性を示唆しています。これらの恐喝の試みにおいて、攻撃者は有名なハッキング グループ「ShinyHunters」との関連性を主張しており、被害者への圧力を高めるための手法であると考えられます。

UNC6040

GTIG は現在、調査対象のアクティビティの大部分を UNC6040 として追跡しています。UNC6040 は金銭目的の脅威クラスタであり、ビッシング ソーシャル エンジニアリングによって被害者のネットワークにアクセスします。アクセス権を取得すると、UNC6040 は Salesforce のデータローダ アプリケーションを使用して、被害者の Salesforce 環境からデータを即座に流出させることが確認されています。この最初のデータ窃盗の後、UNC6040 は、認証情報の収集やビッシングによって入手したエンドユーザーの認証情報を利用して被害者のネットワークを横方向に移動し、Okta や Microsoft 365 などの他のクラウド プラットフォーム上の被害者のアカウントにアクセスしてデータを盗み出すことが確認されました。

攻撃者のインフラストラクチャ

UNC6040 は、Okta フィッシング パネルもホストしているインフラストラクチャを利用して Salesforce アプリケーションにアクセスしていました。このパネルは、ソーシャル エンジニアリングの通話中に被害者をだまして、スマートフォンや職場のパソコンからアクセスするよう誘導するために使用されました。また、これらのやり取りで UNC6040 は、ユーザー認証情報と多要素認証コードを直接要求して Salesforce データローダ アプリケーションを認証、追加し、データを引き出しやすくしていました。

UNC6040 はフィッシング インフラストラクチャに加えて、主に Mullvad VPN IP アドレスを使用して被害者の Salesforce 環境や被害者のネットワークの他のサービスにアクセスし、データの引き出しを実行していました。

「The Com」に関連するグループとの重複

GTIG は、さまざまな侵入において、以前に UNC6040 と関連付けられた要素や、「The Com」として知られるより広範で緩やかに組織化された集団と関係があると思われる脅威グループと特徴が共通するインフラストラクチャを観察しています。また、IT サポートを介したソーシャル エンジニアリング、Okta の認証情報の標的化、当初多国籍企業の英語を話すユーザーに焦点が当てられていた点など、重複する手法、テクニック、手順（TTP）も確認されています。これらの類似点は、脅威アクター間の直接的な運用上の関係を示すものではなく、関連するアクターが同じコミュニティ内で活動していることに起因していると考えられます。

データローダ

データローダは Salesforce が開発したアプリケーションで、Salesforce プラットフォーム内の大量のデータを効率的にインポート、エクスポート、更新することを目的として設計されています。ユーザー インターフェースとコマンドライン コンポーネントの両方が用意されており、後者は広範なカスタマイズと自動化の機能を提供しています。このアプリケーションは OAuth をサポートしており、Salesforce の「接続アプリケーション」機能を使用して直接「アプリケーション」を統合できます。脅威アクターはこれを悪用して、電話で被害者に Salesforce Connect の設定ページを開いて「接続コード」を入力するよう促し、アクターが制御するデータローダを被害者の環境にリンクさせます。

改造版

データローダを使用した侵入事例の中には、脅威アクターがデータローダの改造版を使用して、被害組織から Salesforce データを盗み出すものもありました。ツールの習熟度や実行されたクエリの機能は、攻撃ごとに異なるようです。

ある事例では、脅威アクターが Salesforce からデータを盗み出すために小さなチャンクサイズを使用しましたが、検出とアクセス権の取り消しが行われるまでに約 10% のデータしか取得できませんでした。別のケースでは、最初は小さなチャンクサイズで多数のテストクエリが実行されました。十分な情報が収集されると、アクターはデータの引き出し量を急速に増やし、テーブル全体を抽出しました。

また、脅威アクターがデータローダ アプリケーションを「My Ticket Portal」という名前で構成し、ビッシング通話で使用したソーシャル エンジニアリングの口実とそのツールの外観を一致させていたケースもありました。

見通しと影響

ソーシャル エンジニアリング手法としての音声フィッシング（ビッシング）自体は目新しい手法でも革新的な手法でもありませんが、近年、金銭目的の多数の脅威グループによって広く採用されており、さまざまな結果を招いています。しかし、UNC6040 のこのキャンペーンは、特に Salesforce 環境からデータを引き出すことに重点を置いている点で注目に値します。さらに、この活動では広範で懸念すべき傾向がはっきりと示されています。脅威アクターは、初期アクセスを獲得するための主な攻撃ベクトルとして IT サポート担当者を標的とし、彼らの役割を利用して貴重な企業データを侵害するケースが増えています。

UNC6040 のようなキャンペーンの成功は、このような高度なビッシング戦術を活用して組織の防御を突破しようとする金銭目的のグループにとって、このアプローチが依然として効果的な脅威ベクトルであることを示しています。

最初の侵害から恐喝までの期間が長いことを考えると、今後数週間から数か月の間に、複数の被害組織や下流の被害者が恐喝要求に直面する可能性があります。

準備、緩和策、セキュリティ強化

このキャンペーンは、クラウド セキュリティにおける責任共有モデルの重要性を強調しています。Salesforce などのプラットフォームは、エンタープライズ グレードの堅牢なセキュリティ管理機能を提供していますが、お客様がベスト プラクティスに沿ってアクセス、権限、ユーザー トレーニングを構成、管理することが不可欠です。

ソーシャル エンジニアリングの脅威、特にデータの引き出しにデータローダなどのツールを悪用する脅威から身を守るには、組織は多層防御戦略を実装する必要があります。GTIG は、以下の主な緩和策とセキュリティ強化の手順を推奨しています。

• 最小権限の原則に従い、特にデータアクセス ツールについては厳格に適用する: ユーザーには、その役割に不可欠な権限のみを付与し、それ以下もそれ以上も与えません。特にデータローダのようなツールでは、完全な機能を利用するには「API の有効化」権限が必要になることが多いため、その割り当てを厳しく制限します。この権限では幅広いデータのエクスポートが可能であるため、その割り当てを慎重に管理する必要があります。Salesforce のガイダンスに沿って、データローダ アクセスを確認して構成し、大量のデータ操作を実行できるユーザー数を制限しましょう。また、プロファイルと権限セットを定期的に監査して適切なアクセスレベルが設定されていることを確認してください。

• 接続アプリケーションへのアクセスを厳格に管理する: データローダなどの外部アプリケーションが Salesforce 環境とやり取りする方法を制御しましょう。接続アプリケーションへのアクセスを注意深く管理し、どのユーザー、プロファイル、権限セットがどこからアプリを使用できるかを指定してください。特に重要なのは、ユーザーが新しい接続アプリケーションを承認またはインストールできる「アプリケーションのカスタマイズ」や「接続アプリの管理」などの強力な権限を、必要最小限の信頼できる管理者だけに制限することです。接続アプリを審査して承認するプロセスを策定することを検討してください。既知の安全なアプリケーションを許可リストに登録して、改ざんされたデータローダ インスタンスなどの悪意のあるアプリケーションが不正に導入されるのを防ぐという方法も考えられます。

• IP ベースのアクセス制限を適用する: 商用 VPN を使用した脅威アクターからのアクセス試行を含む、不正なアクセス試行に対抗するために、IP アドレス制限を実装しましょう。ログイン範囲と信頼できる IP を設定することで、定義した企業ネットワークと VPN ネットワークへのアクセスを制限できます。ユーザー プロファイルと、該当する場合は接続アプリケーションのポリシーに対して、許可される IP アドレス範囲を定義してください。これにより、予期しない IP アドレスや信頼できない IP アドレスからのログインやアプリケーション認証が拒否されるか、適切に検証されるようになります。

• Salesforce Shield で高度なセキュリティ モニタリングとポリシー適用を活用する: アラート、可視性、自動応答機能を強化するために、Salesforce Shield 内のツールを活用します。トランザクション セキュリティ ポリシーを使用すると、大規模なデータのダウンロード（データローダの不正使用の一般的な兆候）などのアクティビティをモニタリングし、アラートの自動トリガーやこうしたアクションのブロックを実行できます。これを「イベント モニタリング」で補完して、ユーザーの行動、データアクセスのパターン（誰がいつどのデータを閲覧したかなど）、API の使用状況、その他の重要なアクティビティを詳細に把握することで、侵害を示唆する異常を検出できます。これらのログは、より広範な分析のために社内のセキュリティ ツールに取り込むこともできます。

• 多要素認証（MFA）を例外なく適用する: 前述のソーシャル エンジニアリングの手法では、ユーザーをだまして MFA プロンプトに対応させるもの（悪意のある接続アプリを承認させるなど）が含まれる場合がありますが、MFA は依然として基本的なセキュリティ管理手段です。Salesforce は「MFA はアカウントへの不正アクセスに対する保護を強化する、不可欠かつ効果的なツールである」と述べており、直接ログインには MFA を必須としています。組織全体で MFA を確実に実装し、この重要な保護を回避するために設計された MFA 疲労戦術とソーシャル エンジニアリングの試みについてユーザーの教育を徹底してください。

これらの対策を実施することで、組織は、本レポートで説明されている種類のビッシングや UNC6040 のデータ引き出しキャンペーンに対するセキュリティ ポスチャーを大幅に強化できます。その他の詳細なガイドについては、Salesforce セキュリティ ガイドを含む Salesforce のセキュリティ ドキュメントを定期的にご確認ください。

ビッシングの脅威の詳細やその脅威に先手を打つための戦略的推奨事項とベスト プラクティスについては、Google のビッシングの技術分析をご覧ください。

-Google Threat Intelligence グループ