ShinyHuntersグループ、Okta・Microsoft・GoogleのSSOフィッシング攻撃に関与か

ShinyHunters、SSOアカウントを狙ったフィッシング攻撃の犯行を主張

ShinyHuntersと呼ばれる恐喝グループが、Okta、Microsoft、Googleなどの主要なアイデンティティプロバイダーのシングルサインオン（SSO）アカウントを標的とした音声フィッシング（ビッシング）攻撃の一連の犯行を主張しています。これらの攻撃により、脅威アクターは企業のSaaSプラットフォームに不正アクセスし、機密データを流出させ、被害組織に対して恐喝を行っています。

攻撃キャンペーンの技術的詳細

報告によると、脅威アクターはビッシング技術を利用し、従業員をだましてSSO認証情報を漏洩させています。これらの認証情報を取得すると、企業のSaaSアプリケーション（クラウドストレージ、コラボレーションツール、内部データベースなど）への不正アクセスが可能になります。ShinyHuntersグループは、データ窃取と恐喝で知られており、身代金要求が満たされない場合、盗まれた情報をダークウェブフォーラムで公開することが多いです。

初期侵入の正確な手法はまだ明らかになっていませんが、フィッシング耐性のある多要素認証（MFA）や条件付きアクセスポリシーが、このような攻撃に対する重要な防御策となります。セキュリティ研究者は、SSO認証情報が高価値な標的であると強調しており、これらが複数の企業システムへの広範なアクセスを許す可能性があるとしています。

組織への影響とリスク

SSOアカウントが侵害されると、以下のようなリスクが発生します：

• 機密性の高い企業データへの不正アクセス
• クラウド環境内での横方向移動（ラテラルムーブメント）
• データ流出と恐喝要求
• 評判の損失と規制上の罰則

Okta、Microsoft、Googleといった高プロファイルなプラットフォームが標的となっていることから、これらのSSOソリューションを利用している組織は、リスクの増大を想定し、積極的な脅威検知と対応を優先すべきです。

推奨される対策

セキュリティチームは以下の対策を講じることが推奨されます：

1. すべてのSSOアカウントに対してフィッシング耐性のあるMFA（例：FIDO2セキュリティキー）を強制する。
2. 異常なログイン試行（特に見覚えのない場所やデバイスからのアクセス）を監視する。
3. 条件付きアクセスポリシーを実装し、リスク要因に基づいてアクセスを制限する。
4. 従業員がビッシングやフィッシングを認識できるよう、定期的なセキュリティ意識向上トレーニングを実施する。
5. SSO設定のレビューと監査を行い、最小権限アクセス制御を確保する。

このキャンペーンは現在も進行中であるため、組織は警戒を怠らず、不審な活動を直ちにアイデンティティプロバイダーやサイバーセキュリティチームに報告することが重要です。