-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月13~16日:サイバーセキュリティ関連ニュース
Googleの法執行機関向けのポータルにハッカーが不正アカウントを作成:Googleが認める
BleepingComputer – September 15, 2025
Googleが法執行機関向けに用意しているデータ提供リクエスト用プラットフォーム内に、ハッカーが不正なアカウントを作成していたという。同社がBleepingComputerの取材に対してこの事実を認めている。
今回標的になったのは、Googleの「Law Enforcement Request System(LERS)」というプラットフォーム。これは、警察などの法執行機関がGoogleに対して公式にデータ提供を要請する際に使用するもので、ハッカーは同プラットフォーム上で不正なアカウントを1件作成したものの、このアカウントを使ったデータ提供リクエストはなされておらず、不正にアクセスされたデータもなかったという。なお現在までに、Googleはこのアカウントを無効化している。
Googleがこの事実を明かす以前には、「Scattered Lapsus$ Hunters」と名乗る脅威アクターグループが、同LERSポータルおよびFBIのバックグラウンドチェックシステムである「eCheck」へのアクセスを獲得したとTelegram上で主張。いずれのシステムも世界各国の警察や諜報機関が令状や裁判所命令、緊急開示要請などを提出するために使うものであるため、この主張は懸念を呼び起こしていた。この件をめぐりGoogle同様にBleepingComputerの取材を受けたFBIは、コメントを拒否しているという。
Scattered Lapsus$ HuntersはShiny Hunters、Scattered Spider、Lapsus$の各恐喝グループと繋がりを持つメンバーらから成るとされるグループで、Googleを含む多数の企業が影響を受けているSalesforceインスタンスからのデータ窃取攻撃に関わっているとみられている。2024年後半から始まった第1弾の攻撃では、ターゲット企業の従業員をビッシングの手法で騙し、Salesforce用データローダーツールを当該企業のSalesforceインスタンスへ接続させる手法でデータを窃取。盗み出されたデータは、企業を恐喝する目的で使用されていた。また2025年8月の第2の攻撃キャンペーンでは、Salesforceに連携されるSalesloft製AIチャットボット「Drift」から盗まれたOAuthトークンを使い、企業のSalesforceインスタンスからのデータ窃取が行われたとされる。
9月11日、Scattered Lapsus$ HuntersはBreachForumsに関連するドメインへのメッセージにおいて、活動終了を思わせる発言をしていたものの、BleepingComputerが話を聞いた何人からのサイバーセキュリティ研究者は、同グループが今後も密かに攻撃を行い続けるだろうとの考えを示したとのこと。
FBIがSalesforceのデータ狙うUNC6040、UNC6395の攻撃について警告、IoCを共有
BleepingComputer – September 14, 2025
FBIは9月12日、企業のSalesforceインスタンスを標的としたデータ窃取キャンペーンについてのFLASHアラートを発出。2組のサイバー犯罪グループUNC6040およびUNC6395によるものとされるこのキャンペーンに関連するIoCを共有した。
UNC6040によるものとされるキャンペーンは、2025年6月にGoogleの脅威インテリジェンスグループ(Mandiant)が初めて報告したもので、ターゲット企業の従業員をソーシャルエンジニアリングおよびビッシングの手法で騙し、悪意あるOAuthアプリケーションを当該企業のSalesforceアカウントに接続させ、そこから企業データを大量に抜き取るというもの。抜き取られたデータはその後、恐喝グループShinyHuntersによる恐喝の試みに使用されたとみられている。
一方で2025年8月8日〜18日の間に行われたと考えられているUNC6395のキャンペーンは、Salesloft Driftから盗み出されたOAuthトークンおよびリフレッシュトークンを使って企業のSalesforceインスタンスを侵害し、カスタマーサポートケースの情報を窃取するというもの。収集されたデータはその後分析され、ここからAWSキーやパスワード、Snowflakeトークンを含むシークレット、認証情報、認証トークンなどの情報が抽出されたという。なおその後の調査で、2025年3月に攻撃者がSalesloftのGitHubリポジトリを侵害しており、これがDriftからのOAuthトークン窃取を可能にしていたことが発覚している。
FBIのアラートにはUNC6040およびUNC639への言及しかないものの、BleepingComputerによれば、いずれのキャンペーンにもShinyHuntersおよびScattered Lapsus$ Huntersが関与しているとのこと。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
とは?.jpg)
