特別警戒：脅威グループ「SLSH」がライブフィッシングパネルを使った攻撃を展開、標的は100社以上

yab

2026.01.30

現在進行中の大規模なアイデンティティ（ID）窃取キャンペーンでは、100社を超える大手企業のOktaシングルサインオン（SSO）やその他のSSOプラットフォームアカウントが標的になっています。
Silent Pushでは、Scattered Spider、LAPSUS$、ShinyHuntersのメンバーによる連合グループ「SLSH」の戦術・技術・手順（TTP）と一致するインフラ展開の急増を確認しました。この攻撃は一般的な自動化された「数撃てば当たる」戦法ではなく、人間との通話に依存したボイスフィッシング（ビッシング）を用いているため、フィッシング耐性のある多要素認証（MFA）さえも回避します。

本記事は、マキナレコードが提携するSilent Push社のブログ記事『Special Alert: SLSH Malicious “Supergroup” Targeting 100+ Organizations via Live Phishing Panels』（2026年1月26日付）を翻訳したものです。
こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

[開く][閉じる]

脅威グループ連合「SLSH」
直近30日間で標的となった大手企業の一覧
 直ちに対応すべき理由
 とるべき防御策
 よくある質問

脅威グループ連合「SLSH」

「SLSH（Scattered LAPSUS$ Hunters）」は、犯罪ネットワーク「The Com」から派生したサイバー犯罪グループです。攻撃的な活動を行っており、Scattered Spiderのソーシャルエンジニアリングに関する専門知識、そしてLAPSUS$の恐喝モデルを融合させ、IDプロバイダーを通じて企業や組織に侵入する高度な初期アクセス戦略を構築しています。

SLSHの活動では、新たに導入された「ライブフィッシングパネル」が主要なインフラの一角をなしています。このパネルを使用することにより、攻撃者は被害者のログインセッションに介入できるようになり、認証情報とMFAトークンをリアルタイムで傍受するとともに、企業のダッシュボードへの永続的なアクセスを即座に入手します。

直近30日間で標的となった大手企業の一覧

Silent Pushでは、この1か月の間に以下の企業のドメインに対して活発なターゲティングやインフラ準備が行われたことを検出しています。

業界の種類	企業名
テクノロジー／ソフトウェア	アトラシアン AppLovin Canva Epic Games ジェネシス HubSpot RingCentral Iron Mountain
フィンテック／決済	アディエン Jack Henry シフト４・ペイメンツ
生命工学／創薬	アルナイラムアムジェン Arvinas バイオジェンギリアド・サイエンシズモデルナニューロクライン・バイオサイエンシズ
金融サービス／銀行業	アポロ・グローバル・マネジメントブラックストーンコーヘン＆スティアーズ Frost Bank goeasy Guild Mortgage モーニングスターカナダロイヤル銀行セキュリアンステート・ストリート TPGキャピタル
不動産（不動産投資信託／投資）	Avison Young Brixmor Property CBRE Centerspace コリアーズ eXp Realty グッドマン・グループハワード・ヒューズ・コーポレーション Kennedy Wilson Macerich パブリック・ストレージ Realty Income Redfin RE/MAX サイモン・プロパティ・グループ WeWork
不動産テック／不動産管理ソフトウェア	Entrata RealPage Zillow
インフラ／エネルギー／公共事業	Acco Engineered Systems AECOM Alliant Energy American Water Beach Energy Cenovus Energy CMS Energy DistributionNOW ハリバートンインベナジー MasTec NOV Inc. Oceaneering センプラ・エナジーサンランタレン・エナジー
ヘルスケア／医療技術	Bayshore Healthcare グローバスメディカル GoodRx レスメド Surgery Partners UCHealth
HRテック／アウトソーシング	Awardco コーナーストーンオンデマンド Gusto TriNet
物流／運送業	Bramble（CHEP） Crowley Covenant Logistics リネージロジスティクスピツニーボウズ
製造／重工業	Ball Corp BlueLinx キャンフォーリテルヒューズメソッドエレクトロニクス Reliance Steel
小売業／消費財	アムウェイ Carvana Do it Best GameStop Murphy USA Sargento Foods Sonos スピンマスターラムウェストン
保険	HBF Health Mercury Insurance Risk Strategies
法律事務	ジョーンズ・デイポールヘイスティングスパーキンス・クイ法律事務所
メディア／教育／ホスピタリティ産業	センゲージチョイスホテルズハースト
電気通信	テルストラ

直ちに対応すべき理由

一般的なセキュリティ意識向上トレーニングを受けただけでは、この特定の脅威を阻止しきれないことがよくあります。なぜなら、SLSHのオペレーターの手口は非常に説得力がある上に、多くの場合、ヘルプデスクや従業員と通話をしつつ、その被害者のログインプロンプトに合わせてフィッシングページを操作するからです。

リスク

SSOの完全な乗っ取り：Oktaやその他のSSOプロバイダーのセッションを乗っ取った攻撃者は、組織の環境内にあるあらゆるアプリにアクセスできてしまいます。
データ恐喝：LAPSUS$のプレイブック（行動手順）に従い、攻撃者は公然と脅迫を行うために迅速なデータ窃取を優先します。
ラテラルムーブメント：攻撃者はSSOの初期侵害を通じて内部コミュニケーションツール（SlackやTeamsなど）に侵入し、より高い権限を持つ管理者に対してソーシャルエンジニアリングを行います。
データ暗号化：SLSHによる攻撃の最終段階では、盗んだ企業データを暗号化した後、復号鍵と引き換えに身代金を要求します。

とるべき防御策

組織は侵害通知を待つのではなく、直ちに以下の対応を行う必要があります。

SLSHによる進行中の攻撃について、カスタマーサポートと従業員に警告：予期せぬビッシング攻撃を防ぐ最善の方法は、自社を狙った進行中の攻撃について従業員に前もって警告することです。この段階で不審なメッセージや電話、Eメールを受け取った場合は、マネージャーとセキュリティチームに直ちに報告し、調査を依頼してください。
Oktaシステムやその他のSSOプロバイダーのログをチェック：不審なIPアドレスからのログイン直後に記録された「新しいデバイスの登録」を探します。
先駆的インテリジェンスを展開：Silent Pushはフィッシング攻撃が開始される前に、DNSレベルでこれらの攻撃対象領域を特定します。Silent Pushの将来攻撃指標™（IOFA™）フィードを用いることにより、見分けにくい有害ドメインを攻撃に先んじてブロックすることができます。

よくある質問

脅威グループ「SLSH」とは？

脅威アクターのScattered Spider、LAPSUS$、ShinyHuntersによるサイバー犯罪同盟です。ビッシングやSSO認証情報の窃取、ランサムウェア攻撃を専門としています。

ライブフィッシングパネルの機能とは？

MFAトークンとログイン認証情報をリアルタイムで傍受し、被害者との通話中にセキュリティプロンプトを回避します。

Oktaやその他のSSOプロバイダーのアカウントをビッシングから守るには？

最も効果的な防御策は、フィッシング耐性のあるMFA（FIDO2）を使い、すべてのITサポートコールを正規の帯域外チャネルで認証することです。

※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。詳しくは、以下のフォームからお問い合わせください。

特別警戒：脅威グループ「SLSH」がライブフィッシングパネルを使った攻撃を展開、標的は100社以上

脅威グループ連合「SLSH」

直近30日間で標的となった大手企業の一覧

直ちに対応すべき理由

リスク

とるべき防御策