Connect with us

サイバーセキュリティニュース

【比較分析】TriadaとShibaiマルウェア:スマホに潜むクリプトクリッパーの進化

Published

7か月 ago

on

A split image comparing two distinct Android malware concepts: Left side depicts 'Triada' as shadowy, root-like tendrils subtly infiltrating a smartphone's core system from within, glowing faintly green, suggesting older, deep system compromise. Right side depicts 'Shibai' as a broken digital chain link on a circuit board background, with cryptocurrency symbols (Bitcoin, Ethereum) glitching and draining away through the break, glowing red, symbolizing a supply chain break and cryptoclipper theft. Overall style: Cyberpunk, technical schematic overlay, dark blue and contrasting red/green glows, sense of hidden digital threat, cinematic lighting --ar 16:9 --style raw - innovaTopia - (イノベトピア)

2025年4月28日の記事で詳しく解説した、Doctor Webによって報告された低価格Android端末にプリインストールされた暗号資産窃取マルウェアについて大きな反響をいただきました。

中国製Android端末に暗号資産盗むマルウェア – プリインストールされたWhatsApp偽アプリが仮想通貨ウォレットを標的に

このShibaiの事例は、デバイス製造段階でマルウェアが仕込まれるサプライチェーン攻撃の深刻さを示す最新の一例です。しかし、同様の手法を用いる脅威はこれが初めてではありません。ここでは、過去に大きな被害をもたらし、現在も活動が確認されている代表的なマルウェア「Triada」を取り上げ、今回のShibaiと比較分析することで、サプライチェーン攻撃の脅威と進化についてさらに詳しく見ていきましょう。

1.発見と初期段階 (2016年)

Triadaは、2016年3月にKaspersky Labによって初めて特定されました 。当初は、主に古いAndroidバージョン(4.4.4以前)の脆弱性を悪用して昇格された権限を取得する「ルーティングトロイの木馬」として機能していました

2. Triada:進化するAndroidトロイの木馬の首謀者

2.1 発見と初期段階 (2016年)

Triadaは、2016年3月にKaspersky Labによって初めて特定されました 。当初は、主に古いAndroidバージョン(4.4.4以前)の脆弱性を悪用して昇格された権限を取得する「ルーティングトロイの木馬」として機能していました 。  

感染経路としては、信頼できないソースからのアプリダウンロードや、Google Playストア上で正規アプリを装ったもの、既存の人気アプリのアップデートを介したもの、時にはデバイスにプリインストールされている場合もありました 。また、Ztorg、Gorpo、Leechといったより小型のトロイの木馬を介して配布されることもありました 。初期の主な目的は、スパムアプリやアドウェアをインストールし、広告ボットネットを形成して広告収入やSMS詐欺を通じて収益を得ることでした 。  

2.2 技術的洗練性と進化

Triadaはその高度な技術によって注目されました。

  • モジュール性: Triadaはモジュール型のトロイの木馬として設計されており、コンポーネントをダウンロードして更新できるため、柔軟性とステルス性が向上していました 。モジュールはメモリにロードされた後、ストレージから削除されることが多く、検出をさらに困難にしていました 。  
  • Zygoteインジェクション: 中核的なAndroidプロセスである「Zygote」を改変するという、特に高度な技術が用いられました。Zygoteは全てのアプリプロセスの親であり、ここにコードを注入することで、Triadaはデバイス上で起動される全てのアプリケーションの一部となり、システムの深層アクセス権を獲得し、検出を極めて困難にしました 。これにより、SMSメッセージの傍受など、アプリの動作を変更することが可能になりました 。  
  • ステルス性: 高度なステルス機能を備え、主にRAM内に存在し、システム機能を置き換え、実行中のプロセスリストから自身のモジュールを隠蔽しました 。動的コードローディングのような技術も使用されました 。一部の亜種では、DroidPluginのようなサンドボックス技術を利用して、インストールせずに悪意のあるプラグインをロードしていました 。  
  • 持続性: ルート権限の取得やシステムプロセス/イメージの改変により、ファームウェアの再フラッシュや複雑な手動介入なしには削除が非常に困難、時には不可能になりました 。工場出荷時リセットも効果がないことが多かったです 。  

2.3 サプライチェーン侵害とBADBOXへの移行

新しいAndroidバージョンでルート化が困難になるにつれて、Triadaは適応を余儀なくされました 。2017年から2019年にかけてGoogleによって指摘されたように、Triadaはプリインストールされるバックドアへと進化しました。これはしばしば、主要なOEM(相手先ブランド供給)の知らないうちに、製造プロセスやファームウェアのカスタマイズ中にサードパーティベンダーによってシステムイメージに注入されました 。  

この進化により、TriadaはHUMAN Security、Google、Trend Microなどが調査した大規模な詐欺オペレーション「BADBOX」の中核コンポーネントとなりました 。BADBOXは、Triadaベースのバックドアがプリインストールされた低価格の非ブランドAndroidデバイス(スマートフォン、タブレット、CTVボックス、プロジェクターなど)を販売するものでした 。これらのデバイスは中国で製造され、世界中に出荷されました 。BADBOXはこれらの侵害されたデバイスを利用して、プログラマティック広告詐欺(PEACHPITボットネット)、クリック詐欺、居住プロキシネットワークの構築(アカウント乗っ取り、偽アカウント作成、DDoS攻撃、マルウェア配布、OTP窃取などに利用)、偽アカウント(Gmail、WhatsApp)の作成など、様々な種類の詐欺行為を行いました 。  

2.4 最新の能力(RATおよび金融窃盗)

Triadaはリモートアクセス型トロイの木馬(RAT)としても分類されます 。その能力は広告やSMS詐欺を超えて拡大し、以下のような機能を含むようになりました:  

  • メッセンジャー/ソーシャルメディアアカウント(Telegram、TikTok)の窃取
  • ユーザーになりすましてWhatsAppやTelegramメッセージを密かに送信し、痕跡を削除
  • クリップボードハイジャック(暗号通貨ウォレットアドレスの置換 – クリッパー機能)
  • Webブラウザアクティビティの監視とリンク置換
  • 通話中の電話番号置換
  • SMSメッセージの傍受(二要素認証バイパスやプレミアムSMS登録のため)
  • 他のマルウェアのダウンロード
  • ネットワーク接続のブロック(不正防止システムの妨害)  

2025年の最近のキャンペーンでは、偽造スマートフォンにプリインストールされた形で活動が継続しており、約9ヶ月間で27万ドル相当の暗号通貨が送金されるなど、大きな金銭的利益を上げています 。改変されたWhatsAppバージョン(FMWhatsApp、YoWhatsApp)を介した配布も確認されています 。また、Dwphonのような他のマルウェアとバンドルされていることも発見されています 。  

2.5 影響と悪名

Triadaは、その洗練性、持続性、進化能力から、最も複雑で危険なAndroid脅威の1つと見なされています 。その複雑さはWindowsベースのマルウェアに匹敵するとも言われています 。サプライチェーン侵害を含む多様な配布方法により、潜在的に数百万台のデバイスに影響を与える広範なインパクトを持ち 、大きな金銭的動機とその成功が示されています 。  

Triadaが脆弱性を悪用するルーティングトロイの木馬から、コアOSプロセス(Zygote)を改変するサプライチェーン経由で埋め込まれるバックドアへと進化したことは、セキュリティ強化に適応し、複雑なシステムレベルのエクスプロイトを活用できる高度な脅威アクターグループの存在を示唆しています。これは単なる機会主義的なマルウェアではなく、計画的で持続的な開発を反映しています。初期のルート化依存 はOSパッチによって制限され 、Zygoteインジェクション はより深いアクセスを提供しましたが、依然として初期の特権アクセスが必要でした。最終的なサプライチェーン経由のプリインストールへの進化 は、ユーザーデバイスを直接攻略する必要性を回避し、潜在的に侵害されたサードパーティベンダーが提供するベースシステムイメージにマルウェアを埋め込むことでOSパッチの制限を克服します 。この進展は、攻撃者の技術スキル、リソース投資、そして特にハードウェアサプライチェーンにおけるAndroidエコシステムの弱点に対する戦略的理解の向上を示しています。  

さらに、TriadaとBADBOXオペレーションの緊密な統合は、マルウェアが単なるエンドポイントの脅威ではなく、より大規模で多面的な犯罪事業(詐欺、プロキシサービスなど)の実現要因として機能する傾向を浮き彫りにしています。Triadaは多数のデバイスへの初期アクセスと制御メカニズム(バックドア)を提供し 、BADBOXオペレーションはこのアクセスを利用して様々な収益化スキーム(広告、プロキシ、偽アカウント)のための「モジュール」を展開します 。これは、マルウェア(Triada)が多様な違法ビジネス(BADBOX)を構築・運営するための基盤ツールとして使用される階層化された犯罪インフラを示しており、運営者にとって回復力と収益性を高めていると考えられます。  

3. Shibai:偽装された標的型クリプトクリッパー

3.1 出現と発見 (2024年~2025年)

Shibaiは、2025年4月にDoctor Webによって報告され、その活動は少なくとも2024年6月まで遡ります 。特に、有名ブランド(Samsung、Huaweiなど)のデザインを模倣しつつ、あまり知られていないブランド名(例:SHOWJI)で販売される低価格帯のAndroidスマートフォンにプリインストールされているのが発見されました 。  

配布経路はサプライチェーン侵害であり、デバイスがユーザーに届く前にファームウェアやプリインストールアプリに埋め込まれています 。  

3.2 技術分析:LSPatchとクリッピング

  • マルウェアタイプ: 主に暗号通貨クリッパーマルウェアです。クリッパー機能とは、クリップボードを監視し、コピーされた暗号通貨ウォレットアドレスを攻撃者が管理するアドレスに置き換えるものです 。特定のパターン(例:Ethereum、Tronアドレス)を標的とします 。  
  • 注入メカニズム:LSPatchフレームワークを使用して、正規のアプリケーション(WhatsApp、Telegram、QRスキャナーなど、約40種のアプリが確認済み)に悪意のあるコードを注入します 。
    • LSPatchは、LSPosedから派生したツールで、ルート化されていないデバイスでもアプリの動作を変更できるように設計されています 。これにより、Shibaiの悪意のあるモジュール(com.whatsHookなど)を標的アプリに注入できます 。これは、サプライチェーン攻撃のシナリオにおいて、ファームウェア構築プロセス中に行われる可能性が高いです。  
  • ステルス置換: 巧妙に設計されており、送信者はチャットインターフェース上で自分の正しいウォレットアドレスを見ますが、実際に送信されるメッセージには攻撃者のアドレスが含まれています 。  

3.3 クリッピング以外の悪意のある能力

  • データ窃取: デバイス情報(モデル、OSバージョン、SIM詳細など)、WhatsAppの全てのメッセージ、および一般的なフォルダ(DCIM、Pictures、Downloads、Screenshotsなど)にある画像ファイル(.jpg、.png、.jpeg)を収集します 。  
  • シードフレーズ探索: 画像ファイルの窃取は、保存されているウォレットのリカバリーフレーズ(シードフレーズ)を見つけることを目的としている可能性が高いです。これにより、攻撃者はウォレットへの完全なアクセス権を得て、資金を抜き取ることが可能になります 。  
  • アップデートハイジャック: アプリのアップデートプロセスを乗っ取り、攻撃者が管理するC2サーバーから悪意のあるAPKファイルを取得する可能性があります 。  
  • 仕様偽装: 影響を受けるデバイスでは、別のアプリを使用してハードウェア仕様やAndroidバージョン(実際は古いのにAndroid 14と表示するなど)を偽装し、ユーザーやAIDA64/CPU-Zのような情報ユーティリティを欺くことがよくありました 。  

3.4 インフラストラクチャと影響

Shibaiは大規模なインフラを利用しています。配布用に約30のドメイン、管理用に60以上のC2サーバーが確認されています 。この攻撃は非常に収益性が高く、攻撃者のウォレット分析によると、過去2年間で160万ドル以上を受け取っており、サプライチェーン侵害とクリッピング技術の有効性を示しています 。「Shibai」という名前自体が暗号通貨に関連している可能性も指摘されています 。システムにプリインストールされているため、一般ユーザーによる削除は困難または不可能です 。  

Shibaiは、クリッピングとシードフレーズ探索による暗号通貨窃取という、特定の収益性の高い犯罪に最適化された、非常に焦点を絞ったサプライチェーン攻撃を表しています。Triada/BADBOXの広範な能力とは異なり、Shibaiの設計は、暗号通貨を通じた直接的な金銭的利益を優先する専門的な攻撃者グループを示唆しています。Shibaiの中核機能は暗号通貨クリッピングであり 、追加機能(メッセージ/画像窃取)はシードフレーズ探索によってこの目標を直接サポートします 。LSPatchの使用は、暗号通貨アドレスを扱う可能性が高い複数の一般的なアプリ(メッセンジャー、QRスキャナー)にこの特定の悪意のある機能を注入する効率的な方法を提供します 。報告されている高額な収益(160万ドル以上) は、この焦点を絞ったアプローチの成功を裏付けています。これは、Triadaのより広範で進化する能力(RAT、SMS詐欺、広告詐欺、一般的なデータ窃取)とは対照的です 。  

サプライチェーン攻撃内でのLSPatchの使用は、カスタマイズや開発を目的としたオープンソースツールでさえ、製造プロセスへのアクセスと組み合わせることで、大規模なマルウェア展開のためにいかに容易に武器化され得るかを浮き彫りにしています。LSPatchはアプリを改変するためのオープンソースツールであり 、Shibai攻撃者はこれを利用してクリッパー/スパイウェアコードを正規アプリに注入します 。この注入は、ユーザーがデバイスを入手する前に、サプライチェーン侵害の一部として行われます 。これは、攻撃者が常に完全に新しい注入フレームワークを開発する必要はなく、適切な段階(製造/ファームウェア準備)で特権アクセスを取得できれば、既存のツールを効果的に再利用できることを示しています。これにより、サプライチェーンへのアクセスが達成されれば、高度なプリインストールマルウェアを作成するための参入障壁が低下します。  

4. 比較:Triada vs. Shibai

4.1 比較表

TriadaとShibaiの主な特徴を比較するために、以下の表にまとめます。

特徴TriadaShibai関連情報源 (例)
初確認2016年2024年 (報告は2025年)
タイプモジュール型トロイの木馬, RAT, ルーティングトロイの木馬(初期), バックドア, アドウェア/スパムインストーラ(初期), クリッパー(後期)クリッパー, スパイウェア
主な目的進化: SMS詐欺 → 広告詐欺 → RAT/データ窃取 → 多角的詐欺 (BADBOX) → 暗号通貨窃取暗号通貨窃取 (クリッピング, シードフレーズ探索)
標的プラットフォームAndroid (初期は旧バージョン, 後にプリインストールで全般)Android (特に低価格/偽造デバイス)
主な感染経路進化: 不正アプリ(Playストア含む) → 小型トロイの木馬 → サプライチェーン/プリインストール(ファームウェア)サプライチェーン/プリインストール(ファームウェア)
主要メカニズムルート化(初期), Zygoteインジェクション, モジュール性, RAM常駐, システム関数フックLSPatchによる正規アプリへの注入, クリップボード監視, データ窃取
複雑性非常に高い, 洗練されている, 適応性がある中~高 (機能は限定的だが既存フレームワークを活用)
持続性非常に高い (システムレベル, リセット後も残存)非常に高い (システムレベル, プリインストール)
関連オペレーションBADBOX / PEACHPIT単独 (現時点での報告)
報告された利益莫大 (例: $270k/9ヶ月 ; BADBOX全体ではさらに多い可能性)高い (>$1.6M/2年 )

4.2 類似点の分析

  • 標的: 両者とも基本的にAndroidエコシステムを標的としています。
  • 感染経路: 両者とも、最も影響力の大きい形態において、サプライチェーン侵害/プリインストールに大きく依存しており、ユーザーの操作やアプリストアのチェックを回避しています 。  
  • 動機: 両者とも金銭的な動機があり、直接的(暗号通貨クリッピング、SMS詐欺)または間接的(広告詐欺、再販/他犯罪目的のデータ窃取)に資金を盗むことを目的としています 。  
  • 持続性: 両者ともシステム/ファームウェアへの統合により高度な持続性を実現しており、エンドユーザーによる削除を困難にしています 。  

4.3 相違点の分析

  • 活動期間と進化: Triadaははるかに古く(2016年対2024年)、時間とともに戦術と目標において著しい進化を示してきました。Shibaiはより最近出現し、当初から焦点を絞った目的を持っています 。  
  • 複雑性と範囲: Triadaは一般的に、より複雑で多機能(モジュール型RAT、Zygote改変、広範なBADBOXオペレーションとの連携)であると説明されています。Shibaiは、サプライチェーン経路とクリッピングは洗練されていますが、機能範囲はより狭く、具体的です(LSPatch注入による暗号通貨窃取)。  
  • コア技術: Triadaの特徴的な技術は、広範なシステム侵害のためのZygote改変でした。Shibaiは、特定のアプリへの標的型注入のためにLSPatchに依存しています 。  
  • 標的デバイス: 両者とも様々なデバイスに影響を与える可能性がありますが、Shibaiの報告では特に有名ブランドを模倣した低価格帯/偽造モデルを標的としていることが言及されています 。一方、Triada/BADBOXはCTVボックスやタブレットを含む様々な非ブランドデバイスに影響を与えました 。  

コア技術の違い(Zygote対LSPatch注入)は、サプライチェーン攻撃の制約内で持続性と機能性を達成するための異なるアプローチを反映しています。Zygote改変は、Androidのコアプロセスに対する深い理解と操作を必要とし 全てのアプリに対する広範な制御を可能にします 。一方、LSPatchはフレームワークを利用して特定のターゲットアプリケーションにフックし 、これはShibaiの焦点を絞った目標(メッセンジャー内の暗号通貨アドレス傍受)には十分です。攻撃者がビルド環境を制御するサプライチェーンシナリオでは、特定のAPKをファームウェアに含める前にLSPatchを使用して変更する方が、Zygote改変を実行するよりも複雑でない統合タスクである可能性があります。それでも、Shibaiのような標的型攻撃には望ましい結果を達成できます。これは、攻撃者が必要な制御の広さと、サプライチェーン侵害の文脈における実装の複雑さ/容易さとの間のトレードオフに基づいて技術を選択することを示唆しています。  

5. サプライチェーン侵害という蔓延する脅威

Triada(特にBADBOX経由)とShibaiの両方が、ハードウェア/ソフトウェアサプライチェーンの脆弱性によってもたらされる深刻な脅威を例示しています 。  

侵害は、サードパーティベンダーによる悪意のあるコードの注入、製造中、またはファームウェアのカスタマイズ中に発生する可能性があり、しばしば規制の緩い低コストデバイスの生産ラインを標的とします 。Trend Microによって特定されたLemon Groupは、プリインストールされたデバイスとTriadaオペレーターに関連しています 。  

この種の攻撃は、以下のような深刻な課題をもたらします。

  • 検出困難: 侵害がデバイス入手前に発生するため、ユーザーや標準的なセキュリティツールによる検出が困難です 。  
  • 除去不能: マルウェアが保護されたシステムパーティション(ROM)やファームウェアに存在するため、ユーザーによる除去はしばしば不可能です 。再フラッシュが唯一の解決策であることが多いですが、これは一般ユーザーの能力を超えています 。  
  • 帰属と責任: 複雑なグローバルサプライチェーンのどこで侵害が発生したかを正確に特定することは困難です 。  
  • 信頼の侵食: ハードウェアベンダーやデバイスエコシステムに対する消費者の信頼を損ないます 。  

モバイルデバイスを標的とするサプライチェーン攻撃は、グローバリゼーションと断片化された製造プロセスの戦略的な悪用を表しています。現代の電子機器は、多くの部品サプライヤー、ソフトウェア開発者(しばしばサードパーティ)、製造業者、流通業者を、異なる国々にまたがって巻き込んでいます 。特に低価格デバイス市場におけるコスト圧力は、サードパーティのコードやプロセスに対するセキュリティ審査の削減につながる可能性があります 。この断片化は、エンドツーエンドのセキュリティ監査を極めて困難にします。攻撃者はこれらのギャップ(例えば、顔認証のような特定の機能を提供するサードパーティベンダーを侵害するなど )を悪用して、TriadaやShibaiのようなマルウェアを注入します。そして、グローバルな流通ネットワークが、これらの侵害されたデバイスを効率的に世界中に拡散させます 。これにより、グローバルコマースの効率性が、効率的なマルウェア配布ネットワークへと転換されてしまうのです。  

6. 緩和策と防御戦略:埋め込まれた脅威からの保護

埋め込まれた脅威に対抗するには、ユーザー、製造業者、プラットフォームプロバイダー、セキュリティコミュニティを含む多層的なアプローチが必要です。

6.1 ユーザーレベルでの推奨事項

  • 信頼できる購入元: 信頼できる正規のベンダーや製造元からデバイスを購入してください。特にオンラインマーケットプレイスでの、疑わしいほど低価格なデバイスや非ブランドデバイスには注意が必要です 。  
  • セキュリティソフトウェア: 信頼できるモバイルセキュリティソリューションをインストールし、最新の状態に保ってください。ただし、プリインストールされたファームウェアマルウェアの検出は困難な場合があります 。  
  • アップデート: Android OSと全てのアプリケーションを最新の状態に保ってください。パッチによって、一部のマルウェアコンポーネントや後からダウンロードされるモジュールが悪用する脆弱性が修正される可能性があります 。しかし、ファームウェアレベルの感染はアップデートでは除去できない場合があります。  
  • 権限の確認: アプリの権限、特にアクセシビリティサービスのような高リスクな権限(マルウェアによってしばしば悪用される)を注意深く確認してください 。過剰な権限を与えないでください 。  
  • 不審な動作の監視: デバイスの異常な動作(バッテリーの異常消費、予期しないネットワークトラフィック、奇妙なポップアップなど)を監視してください。ただし、Triadaのような高度なマルウェアはステルス性が高く設計されています 。  
  • 再フラッシュ(上級者向け): ファームウェアレベルの感染が疑われる場合、最も信頼性の高い除去方法は、クリーンな公式ファームウェアイメージをフラッシュすることです。これは技術的なプロセスであり、全てのユーザーに適しているわけではありません 。  
  • 非公式ソースの回避: 信頼できないサードパーティストアやソースからアプリをインストールしないでください 。非公式または改造されたアプリバージョン(Triada配布で言及されたWhatsApp modなど)は避けてください 。  

6.2 業界とエコシステムの役割

  • OEMの責任: 製造業者は、デバイス出荷前およびOTA(Over-The-Air)アップデート時に、サードパーティコードを含むシステムイメージの徹底的なセキュリティレビューを行う必要があります 。サプライチェーンの完全性検証が求められます。  
  • Googleの役割: Google Playプロテクトのようなイニシアチブは、ソースに関わらずアプリをスキャンし、Triadaのような進化する脅威を含むPHA(Potentially Harmful Applications)を特定するよう努めています 。研究者やOEMと協力して脅威を除去しています 。Playプロテクト認証は重要な指標です 。  
  • セキュリティリサーチ: セキュリティ企業(Kaspersky、Dr. Web、Google、HUMAN、Trend Microなど)による継続的な分析は、これらの脅威を発見、理解し、報告するために不可欠です 。協力と情報共有(例:HUMANとGoogle、Trend Micro、Shadowserverの連携)が鍵となります 。  
  • 妨害活動: ドイツBSIがBADBOXに対して行ったようなC2インフラのシンクホール化などの措置は、進行中の被害を軽減できますが、マルウェア自体を除去するものではありません 。  

サプライチェーンマルウェアに対する効果的な緩和策は、ユーザー、製造業者、プラットフォームプロバイダー(Google)、そしてセキュリティコミュニティが関与する多層的なアプローチを必要とします。ユーザーは信頼できるソースを選択し 、良好なセキュリティ習慣を実践することでリスクを減らすことができます 。しかし、プリインストールされたファームウェアマルウェアを容易に検出または除去することはできません 。したがって、予防は上流で行われなければなりません。すなわち、OEMによるサプライチェーンとファームウェアの審査 、そしてGoogleによるプラットフォームレベルの保護と認証(Playプロテクト) です。セキュリティコミュニティは、これらの脅威(しばしば深いファームウェア分析が必要)を発見し、妨害活動を調整する上で重要な役割を果たします 。これは、サプライチェーンセキュリティがエコシステム全体にわたる共有責任であることを示しています。  

7. まとめ:私たちのポケットの中の見えざる戦い

本稿では、Androidマルウェア「Triada」と「Shibai」について詳細な比較分析を行いました。Triadaは、その複雑さ、長期間にわたる進化、多目的性、そして大規模な詐欺オペレーションBADBOXとの関連性によって特徴づけられます。一方、Shibaiは、LSPatchフレームワークを利用した、より焦点を絞った暗号通貨クリッパーとして登場しました。両者に共通するのは、その最も危険な形態において、ハードウェアやソフトウェアのサプライチェーン侵害に依存している点です。

これらの事例は、従来の攻撃対象領域を超えた弱点を悪用する、ますます高度化するモバイル脅威という大きなトレンドの中に位置づけられます。特にプリインストール型マルウェアは、ユーザーの信頼とデバイスのセキュリティに対して深刻な課題を突きつけています 。  

PEACHPITやBADBOXのC2サーバーのような特定のオペレーションは妨害されるかもしれませんが 、根本的な技術(サプライチェーン侵害、Zygote/LSPatch改変)や脅威アクターは依然として存在します。攻撃者は今後も進化と適応を続けると予想されます 。  

したがって、ユーザーによる警戒、製造業者やプラットフォームプロバイダーによる積極的なセキュリティ対策、そしてサイバーセキュリティコミュニティ内での継続的な研究と協力が、これらの高度で埋め込まれた脅威と戦うために不可欠です。見えざる戦いは、私たちのポケットの中で続いているのです。

【用語解説】

Triada(トリアーダ):
2016年に発見された高度なAndroidマルウェア。初期はルート化機能で知られ、後にZygoteインジェクションやサプライチェーン攻撃を通じて配布されるバックドアへと進化した。広告詐欺、SMS詐欺、データ窃取、暗号資産窃取など多機能。

Shibai(シバイ):
2024年頃から活動が確認され、2025年に報告されたAndroidマルウェア。主に低価格帯の偽装スマートフォンにプリインストールされ、LSPatchフレームワークを利用して正規アプリにコードを注入し、暗号資産ウォレットアドレスを置き換えるクリッパー機能やデータ窃取を行う。

サプライチェーン攻撃 (Supply Chain Attack):
製品やソフトウェアが開発・製造され、ユーザーに届くまでの供給網(サプライチェーン)のいずれかの段階で、悪意のあるコードやコンポーネントを混入させる攻撃手法。デバイスやソフトウェアが正規のものとして流通するため、ユーザーが気づきにくい。

クリプトクリッパー (Cryptoclipper):
マルウェアの一種で、ユーザーのデバイスのクリップボード(コピー&ペースト機能の一時記憶領域)を監視し、コピーされた暗号資産(仮想通貨)のウォレットアドレスを、攻撃者が管理する別のアドレスに自動的に置き換える機能を持つもの。ユーザーが気づかないうちに送金先を不正に変更する。

LSPatch:
ルート化されていないAndroidデバイス上で、アプリケーションの動作を変更したり、任意のコード(パッチ)を注入したりすることを可能にするフレームワーク。元々は開発やカスタマイズ目的のツールだが、Shibaiマルウェアが悪用した。

Zygoteインジェクション (Zygote Injection):
Androidシステムのコアプロセスである「Zygote」プロセスに悪意のあるコードを注入する高度な攻撃手法。Zygoteは全てのアプリプロセスの親であるため、ここにコードを注入されると、デバイス上で起動するほぼ全てのアプリに影響を与え、深いシステムアクセス権を奪取できる。Triadaが使用したことで知られる。

RAT (Remote Access Trojan / リモートアクセス型トロイの木馬):
感染したデバイスに対して、攻撃者が遠隔地から不正にアクセスし、操作(ファイルの窃取、コマンド実行、監視など)を行うことを可能にするマルウェア。

BADBOX:
TriadaマルウェアがプリインストールされたAndroidデバイス(スマートフォン、TVボックスなど)を利用した大規模な不正広告・詐欺オペレーションの名称。HUMAN Security、Google、Trend Microなどによって調査された。

プリインストールマルウェア (Pre-installed Malware):
デバイスが出荷される前、製造段階やファームウェア書き込み時に、あらかじめシステムに埋め込まれているマルウェア。ユーザーがデバイスを初めて起動した時点で既に感染しているため、検出や削除が非常に困難。

C2サーバー (Command and Control Server):
マルウェアが外部の攻撃者と通信し、指示を受け取ったり、盗んだ情報を送信したりするための中継サーバー。攻撃インフラの司令塔の役割を果たす。

リカバリーフレーズ / シードフレーズ (Recovery Phrase / Seed Phrase):
暗号資産ウォレットを復元するために必要な、通常12語または24語の単語の組み合わせ。これが漏洩すると、第三者がウォレット内の資産を完全にコントロールできてしまうため、極めて厳重な管理が必要。

【参考リンク】

Doctor Web公式サイト(外部)
ロシアのセキュリティ企業が運営するアンチウイルスソフトウェアの開発会社

Salt Security公式サイト(外部)
API専門のセキュリティ企業で、AIを活用した保護サービスを提供

Zimperium公式サイト(外部)
モバイルセキュリティのリーダー企業で、AI駆動の保護技術を提供

中国製Android端末に暗号資産盗むマルウェア – プリインストールされたWhatsApp偽アプリが仮想通貨ウォレットを標的に

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

Related Topics:
Continue Reading

サイバーセキュリティニュース

FortinetのSSL VPN・管理システムが連続標的、GreyNoise研究で6週間前兆パターン確認

Published

3か月 ago

on

2025年8月13日

By

FortinetのSSL VPN・管理システムが連続標的、GreyNoise研究で6週間前兆パターン確認 - innovaTopia - (イノベトピア)

2025年8月3日、GreyNoiseはFortinet SSL VPNデバイスへのbrute-force(総当たり攻撃)トラフィックを780超のユニークIPアドレスから観測した。

過去24時間でも56件を確認し、米国、カナダ、ロシア、オランダ発で、標的は米国、香港、ブラジル、スペイン、日本だった。8月5日以前は単一のTCPシグネチャによるFortiOSプロファイルが対象で、以降は異なるシグネチャでFortiManagerを標的とした。

6月には米国Pilot Fiber Inc.管理の住宅ISPブロック内FortiGate機器に関連するクライアントシグネチャが確認された。こうした活動のスパイク後6週間以内に関連CVEが開示される傾向があるという。

From: 文献リンクFortinet SSL VPNs Hit by Global Brute-Force Wave Before Attackers Shift to FortiManager

【編集部解説】

本件は、Fortinetのエッジ系プロダクトを狙ったbrute-force(総当たり)活動が、短い期間でプロファイル横断的に変化した点に本質があります。

8月3日にFortiOS(SSL VPN)向けのトラフィックが顕著化し、8月5日以降はFortiManager(FGFM)プロファイルへと焦点が移ったことは、攻撃側のツールチェーンや運用基盤が柔軟にpivot(方向転換)可能であることを示しています。この「面から点へ、そして別の面へ」の切替は、単発の不審トラフィックではなく、攻撃指向性の強い連続した作戦行動として理解すべきです。

技術的には、GreyNoiseが用いるJA4+ベースのシグネチャやTCP/クライアント指紋の組合せ(meta signature(メタシグネチャ))が、波状的な2クラスタを識別し、ターゲットがFortiOSからFortiManagerへ移る様子を可視化しています。この観測により、同一もしくは共有基盤のツールが、エッジ向けの複数サービスに対して順次当たりを取りに行く「横持ち的スキャン/試行」を行っている可能性が高まります。

一見すると「パスワード当て」にすぎませんが、GreyNoiseのEarly Warning Signals(早期警告)研究では、こうしたスパイクの80%が6週間以内の新規CVE開示に先行する相関を示しており、特にVPNやファイアウォール、リモートアクセスなどエンタープライズのエッジ領域に限定的に観測されています。つまり、この種の活動は「ゼロデイの前哨(前振り)」や「攻撃者の在庫作成(inventorying)」として機能する局面があり、防御側にとっては事前に可動防御を高めるシグナルになり得ます。

FortiManagerへのシフトは特に重要な意味を持ちます。FortiManagerはポリシー配布や集中管理の要であり、資格情報や到達性の失陥は多拠点に連鎖するリスクを伴います。実際、Mandiantの過去調査では、FortiManager侵害により50超のデバイスから設定データが窃取された事例もあり、今回の標的変更は単なる攻撃手法の変化ではなく、攻撃者の戦略的高度化を示唆しています。

インフラ的観点では、6月の履歴に住宅系ISP(Pilot Fiber Inc.)ブロック内のFortiGateへ解決するクライアントシグネチャが見つかっており、residential proxy(住宅用プロキシ)か、在宅環境でのツール検証の可能性が示唆されています。この所見はアトリビューションを複雑化しますが、防御実務としては「レジデンシャル経路からの低ノイズ・分散的試行」を前提に、単純なASN/ホスティング除外だけに依存しない検知・遮断の工夫が必要であることを意味します。

実務上は、SSO/多要素認証の強制、管理プレーンの到達制限、API/管理チャネルのIP許可制、段階的レート制御、ログのJA4+シグネチャ相関監視、そして異常事前スパイク時の一時的ブロックリスト適用(GreyNoiseの動的リスト活用など)を組み合わせるべき局面です。規制・ガバナンス面では、「公開CVE後に動く」から「スパイク検知で先に動く」への転換がポイントであり、6週間のクリティカルウィンドウ(six-week critical window(6週間の重要期間))という定量的根拠は、経営・購買・運用における前広のリソース投入の合理化に寄与します。

【用語解説】

brute-force(総当たり攻撃)
認証情報を機械的に試行してログイン成功を目指す手法。

FortiOS
FortinetのFortiGateで動作するネットワーク/セキュリティ向けOS。

FortiManager(FGFM)
Fortinet機器群を集中管理する管理プレーン製品およびプロトコル(FGFM)。

TCPシグネチャ
通信のパケット特性から識別される固有パターンで、ツールや挙動の類似性を把握するために用いられる。

クライアントシグネチャ
接続元クライアントの挙動指紋で、TCPシグネチャと組み合わせてメタシグネチャとなる。

meta signature(メタシグネチャ)
TCPシグネチャとクライアントシグネチャを組み合わせた高精度な識別指標。

residential proxy(住宅用プロキシ)
住宅回線を経由して実IPを秘匿するプロキシ形態。

CVE(Common Vulnerabilities and Exposures)
公知の脆弱性識別子で、ベンダー横断で共有される番号体系。

Early Warning Signals(早期警告シグナル)
GreyNoiseが提唱する、攻撃スパイクが新規CVE公開に先行する傾向に関する研究フレーム。

credential stuffing(クレデンシャルスタッフィング)
流出済み認証情報の使い回し試行攻撃。

JA4+
GreyNoiseが開発したネットワーク指紋技術で、TLS接続の詳細特徴を識別する手法。

【参考リンク】

Fortinet(外部)
FortiGateやFortiManagerなどのネットワーク/セキュリティ製品を提供する企業

FortiManager(外部)
Fortinet機器のポリシー配布や運用を集中管理するツール群

GreyNoise(外部)
インターネットの背景ノイズ/攻撃トラフィックを観測・タグ化し、脅威インテリジェンスを提供

GreyNoise Fortinet SSL VPNブルートフォース研究(外部)
2025年8月3日の780超IPスパイクやFortiManagerへのシフトを技術的に解説

GreyNoise Early Warning Signals研究(外部)
攻撃スパイクの80%が6週間以内のCVE公開に先行した傾向を示す研究

【参考記事】

Coordinated Brute Force Campaign Targets Fortinet SSL VPN(外部)
2025年8月3日の780超IP観測やFortiManagerシフトの一次情報を詳説

Early Warning Signals: When Attacker Activity Precedes New Vulnerabilities(外部)
216スパイクの80%が6週間以内のCVE公開に先行したとする定量結果を提示

Fortinet SSL VPNs targeted in renewed brute-force campaign(外部)
8月3日のスパイクとFortiManagerピボットを整理し、credential-stuffing攻撃の特徴も言及

GreyNoise Intelligence Releases New Research(外部)
80%の先行相関や6週間のクリティカルウィンドウをプレス発表として要約

【編集部後記】

今回の事案で印象的だったのは、攻撃者の「学習する姿勢」です。8月3日にSSL VPNを試し、8月5日以降はFortiManagerに焦点を移す——この柔軟性は、私たち防御側も見習うべき点かもしれません。

特に注目したいのは、住宅系IPからの攻撃の痕跡です。かつては「怪しいトラフィックは海外のホスティング業者から」という固定観念がありましたが、今や身近な回線経由での攻撃が現実となっています。皆さんの組織では、こうした「見た目は普通」のアクセスをどう見分けていますか。

GreyNoiseの「6週間前兆」研究は、サイバーセキュリティ業界に新たな時間軸をもたらしました。従来の「脆弱性が公開されてから対応」ではなく、「攻撃の兆候を察知して先手を打つ」アプローチは、まさに未来志向の防御戦略です。

読者の皆さんも、職場のログを眺める際に「これって何かの前兆かも?」という視点を持ってみてください。きっと新しい発見があるはずです。次回も、技術の最前線から皆さんに有益な情報をお届けします。

Continue Reading

サイバーセキュリティニュース

Curly COMradesがNGEN COMハイジャックでMucorAgent展開、ジョージア・モルドバ狙うサイバースパイ活動が浮上

Published

3か月 ago

on

2025年8月13日

By

Curly COMradesがNGEN COMハイジャックでMucorAgent展開、ジョージア・モルドバ狙うサイバースパイ活動が浮上 - innovaTopia - (イノベトピア)

未報告の脅威アクターCurly COMrades(カーリー・コムレイズ)が、ジョージアの司法・政府機関及びモルドバのエネルギー配電企業を標的にサイバースパイ活動を行っている。

Bitdefender(ビットディフェンダー)は2024年半ばから追跡し、NTDSデータベースやLSASSメモリから認証情報を窃取しようとしたと報告した。攻撃はcurl(カール)とCOM(コンポーネントオブジェクトモデル)ハイジャックを多用し、MucorAgent(ミューコルエージェント)バックドアがNgen(ネイティブイメージジェネレーター)のCLSIDを悪用して永続化を実現した。

Resocks(リソックス)、SSH、Stunnel(スタネル)、SOCKS5(ソックスファイブ)、CurlCat(カールキャット)、RuRat(ルーラット)、Mimikatz(ミミカッツ)などのツールが使用された。
※このCurly COMradesは2023年11月以降活動が確認されている。

From: 文献リンクNew ‘Curly COMrades’ APT Using NGEN COM Hijacking in Georgia, Moldova Attacks

【編集部解説】

本件のキモは、NGEN COMハイジャックという「Windowsの最適化プロセスを悪用した低ノイズの永続化」と、「curl.exe中心のC2・流出設計」によって、監視をすり抜けながら長期潜伏を成立させている点です。ジョージアの司法・政府機関、モルドバのエネルギー配電企業という選好は、オペレーションがロシアの地政学的利益と整合するとの評価を裏づけます。

NGEN(Native Image Generator)のタスクは通常無効に見える一方、アイドル時や新規アプリ導入時など不定期にOS側で有効化され実行されます。Curly COMradesはCLSIDハイジャックでこの挙動にぶら下がり、SYSTEM権限下でMucorAgentを再起動させる導線を確保しています。この「予測不能性」は検知回避に寄与する反面、攻撃側も補助トリガーを併設している可能性が高いという含みも示されます。

MucorAgentは三段構成の.NETバックドアで、AMSI回避を挟みつつ暗号化PowerShellを実行し、出力をPNGに偽装してcurl.exeで外送します。ペイロードをindex.pngやicon.pngとして特定パスに置く運用は、ファイルベース監視の盲点を突く「無害化」手法の典型です。さらに、正規だが侵害済みのウェブサイトを中継に使うことで、トラフィック信頼モデルを逆手に取っています。

初期侵入は未特定ながら、内部横展開ではResocks、SSH、Stunnel、カスタムSOCKS5、そしてCurlCatによるlibcurlベースの難読化通信が併用され、認証情報取得ではNTDS抽出やLSASSダンプ、Mimikatz、PowerShellのAD列挙などが確認されています。この「既存ツール+LOLBin(Living Off the Land)」志向は、ゼロデイよりもステルス性と柔軟性を重視する近年の国家系スパイ活動の潮流と一致します。

エンタープライズにとってのインパクトは三層です。第一に、EPP/EDRが苦手とする「正規プロセス連携+不定期タスク」を突く永続化の成立で、アラートボリュームを上げずに居座られます。第二に、アイデンティティ基盤直撃(NTDS・LSASS)により、ネットワーク全域の信頼がドミノ的に崩され得ます。第三に、正規サイト中継とPNG偽装はDLPやプロキシのポリシー回避余地を広げ、出口監視の閾値設計を再考させます。

一方で、防御側にも手立てはあります。NGEN関連CLSIDの改変監視とスケジュールタスクの異常生成検出、curl.exeのネットワーク挙動(特に画像拡張子とPOST/PUTの組合せ)のプロファイリング、公開済みフォルダ(例:Users\Public\Documents)でのステージング検知は、実装難度に対して効果が見込めます。加えて、ドメインコントローラー周辺のボリュームシャドウコピー操作とLSASSアクセスの厳格監査は、アイデンティティ侵害の初期兆候として重要です。

規制・ガバナンス面では、重要インフラおよび公共部門に対し、「正規プロセス濫用」を前提にした行動ベース検知の義務化、アイデンティティ・レジリエンス(Tiering、PAW、LSA保護、CredGuard等)のベンチマーク適合、正規サイト経由の中継対策としてのDNS/HTTPS可視化要件が論点になります。地政学的背景を踏まえると、域内サプライチェーンの監視共通フレーム策定も急務です。

最後に、この事案は「検知されにくい仕組み自体」を足場にする設計思想が主流化していることを示します。NGENのようなメンテナンス機構の悪用、画像ファイル偽装、正規サイト中継—いずれも”当たり前の正常”に寄り添うため、シグネチャ一発での検知は難しくなります。だからこそ、攻撃パイプライン全体の前提(どのプロセスが、いつ、何を、どこへ)をモデル化し、逸脱を検出する「正常性の定義のアップデート」が企業防御の本丸になります。

【用語解説】

APT(Advanced Persistent Threat)
政治・産業スパイを目的に長期潜伏と継続的侵入を行う攻撃者像の総称。

COM(Component Object Model)
Windowsでオブジェクトを再利用・連携する仕組みで、CLSIDという識別子で管理される。

CLSID(Class Identifier)
COMクラスを一意に識別するGUIDで、レジストリ改変によりハイジャック悪用され得る。

NGEN(Native Image Generator)
.NETの事前コンパイル機構で、OSのアイドル等で不定期にタスクが実行される。

NGEN COMハイジャック
NGEN関連CLSIDを差し替え、SYSTEM権限で任意コード実行や永続化を実現する手口。

MucorAgent
.NET製の3段階インプラントで、AES暗号化PowerShellを実行し結果を外送するバックドア。

LSASSダンプ
認証情報を含むLSASSプロセスのメモリを抽出し、資格情報を窃取する技術。

NTDS(NTDS.dit)
Active Directoryのユーザーハッシュ等を格納するデータベースで、ドメイン侵害の主要標的。

LOLBins(Living off the Land Binaries)
OSや正規ツール(例:curl)を悪用し痕跡を目立たなくする手法。

CurlCat
libcurlを用い、侵害済み正規サイトを経由してHTTPSでC2と双方向通信するツール。

侵害済み正規サイト中継
乗っ取られた一般サイトをトラフィック中継に使い、検知回避と秘匿化を図る戦術。

【参考リンク】

Curly COMrades: A New Threat Actor Targeting Geopolitical Hotbeds(外部)
BitdefenderがCurly COMradesとMucorAgent、NGEN COMハイジャックの手口を技術詳細とともに解説する公式記事

Stunnel(公式)(外部)
TLSトンネリングを提供するオープンソースのプロキシで、平文プロトコルの暗号化ラッピングに用いられる

Microsoft Docs: CLSID Key(公式)(外部)
WindowsのCOMにおけるCLSIDの役割とレジストリ構造を解説する公式ドキュメント

Microsoft Docs: ngen.exe(公式)(外部)
NGENの目的、動作タイミング、最適化の仕組みを説明する公式ドキュメント

【参考記事】

Curly COMrades cyberspies hit govt orgs with custom malware(外部)
BleepingComputerの解説記事。MucorAgentの3段構成、AMSI回避、PNG偽装外送の詳細を補足

Russian-Linked Curly COMrades Deploy MucorAgent Malware in Eastern Europe(外部)
Hackreadによる概説。NGENハイジャックの前例がない手法とロシアの地政学的文脈を補強

【編集部後記】

今回のCurly COMradesによるNGEN COMハイジャック攻撃を調査していて、最も印象的だったのは「正常と異常の境界線がいかに曖昧になっているか」という点でした。NGENという.NETの最適化プロセスを悪用する発想は、攻撃者が単なる脆弱性悪用から、システムの「当たり前の動作」そのものを武器にする時代に入ったことを物語っています。

特に興味深いのは、curl.exeという開発者なら誰もが使う正規ツールを、C2通信の中核に据えた点です。これは「怪しいツールを持ち込まず、その場にあるもので済ませる」というLiving Off the Landの思想が、もはや攻撃の常識になりつつあることを示しています。防御側としては、「何が悪意ある行動か」を再定義する必要に迫られているのが現状です。

皆さんの組織では、こうした「正規プロセスを悪用した攻撃」への備えはいかがでしょうか。従来のシグネチャベース検知だけでは限界がある中、どのような行動ベース監視や異常検知を導入されていますか?また、アイデンティティ基盤の保護について、現場ではどんな課題を感じておられるでしょうか。ぜひコメントで実体験や対策のアイデアを共有していただけると、読者同士で学び合えると思います。

Continue Reading

サイバーセキュリティニュース

サイバー犯罪2大グループ「ShinyHunters」「Scattered Spider」連携、Salesforce経由恐喝攻撃の新展開

Published

3か月 ago

on

2025年8月13日

By

サイバー犯罪2大グループ「ShinyHunters」「Scattered Spider」連携、Salesforce経由恐喝攻撃の新展開 - innovaTopia - (イノベトピア)

2025年8月12日、ReliaQuestはShinyHuntersとScattered Spiderが連携し、Salesforce顧客を標的としたデータ恐喝攻撃を実施していると報告した。

両者はvishing(音声フィッシング)やOkta偽装フィッシング、VPNによるデータ流出秘匿など類似の戦術を用いている。ShinyHuntersは2020年から活動し、BreachForumsの運営に関与、2025年6月に第4期を開始したが同月9日頃に閉鎖した。フランス当局は6月、関係者4人を逮捕した。

8月8日にはShinyHunters、Scattered Spider、LAPSUS$を名乗るTelegramチャンネルが出現し、RaaS「ShinySp1d3r」開発を主張したが3日後に消滅した。700超のフィッシング関連ドメイン分析で、7月以降金融企業を狙う登録が12%増加し、テクノロジー企業向けは5%減少した。

From: 文献リンクCybercrime Groups ShinyHunters, Scattered Spider Join Forces in Extortion Attacks on Businesses

【編集部解説】

今回のポイントは、従来「資格情報の窃取とデータベース流出」で知られたShinyHuntersが、Scattered Spiderの代名詞的手口を取り込み、SaaS基盤(Salesforce)を起点に恐喝へ接続する「戦術ポートフォリオ」を拡張したことです。属性の断定には慎重さが要りますが、戦術・インフラ・標的セクターの重なりが濃く、オペレーション面の連携または持続的な交流があると見るのが実務的です。

同時に、Googleが警鐘を鳴らしたUNC6040のvishing(ビッシング)→OAuth濫用→Salesforceデータ抽出→恐喝の一連の流れは、多数企業に波及可能な「SaaS時代の攻撃プリミティブ」を提示しました。攻撃者は正規UXと権限モデルの文脈に溶け込み、長命トークンや正規アプリのワークフローを悪用して可視性の死角を突きます。

この攻撃の難所は、マルウェアよりも「人間—業務—SaaS」の接点に潜む点です。voice phishing(音声フィッシング)でヘルプデスクを装い、SalesforceのConnected Appを承認させる、Okta偽装でSSO資格情報を収集する、Mullvad VPN等で流出経路を秘匿する、短命ドメインを高速回転させる——いずれも組織の運用現実に寄り添う設計です。検知は従来型のマルウェア前提モデルでは後手に回りやすいです。

影響範囲については、直近のドメイン観測から「金融サービス」へのシフトが示唆され、保険・銀行・決済のCRM/ケース管理が主戦場になる可能性があります。一方、テック企業向けの偽装は相対的に減少の傾向が示されましたが、標的選好は機会依存で流動的です。この変化は、流出データの再販・二次詐欺(高精度ターゲティング)・サプライチェーン横断の踏み台化に直結します。

規制・ガバナンス面では、SSO/MFA実装が万能でないことを前提に、OAuth権限・長命トークン・Connected Appの統制が監査の焦点になります。ログ保存は「アプリ行為とデータアクセス粒度」を押さえ、短命ドメインや住宅系プロキシ環境を前提にした「行動学的検知」への転換が実務的です。また、委託・共同利用のCRMデータ管理における「同意と目的外利用」「二次流通リスク」も再設計が要ります。

ポジティブな側面として、ReliaQuestや複数の脅威インテリジェンスがTTPの特定性を高め、インフラの指紋化と早期介入(短命ドメインの封じ込め、Okta偽装キットの検知)に実装知を提供し始めています。クラウド事業者とSaaSベンダーの協調による検知・通報・テイクダウンも、ドメイン回転速度に追随する形で成熟しつつあります。

一方のリスクは、脅威側の”クラウト化”です。Telegram上の「Scattered LAPSUS$ Hunters」は短命でしたが、RaaS志向(ShinySp1d3r)やブランディング増幅を狙う情報心理戦の色彩が濃く、初期侵入のB2B化(initial access broker)との役割分担が進む可能性があります。The Comという緩やかな上位集合体の下で、手口・インフラ・人材が「共有地化」するほど、個別グループの摘発が波及抑止に直結しにくくなります。

長期的には、「SaaSの業務同化度」が高い企業ほど、攻撃者にとってUX駆動の社会工学が効く構造が続きます。MFA疲労、ヘルプデスク模倣、正規アプリの再梱包という「人と業務」に寄り添う戦術は、防御側にも同じレイヤの介入(就業動線に沿うトレーニング、承認画面のUXハードニング、権限スコープの最小化、アプリ間連携の検査ゲート)を要求します。犯行主体の同定に過剰に拘泥するより、戦術連鎖を分断する「行動ベースの最小介入点」を設計することが、現実的な被害最小化に直結します。

最後に、事実関係への注記です。連携の断定は依然として「状況証拠の積み上げ」に留まる一方、対象セクターの重なり、BreachForums上の”Sp1d3rhunters”、ドメイン命名規則の一致、vishingとOkta偽装、Mullvadを介した流出——これらの符合は多源的に確認されています。誇張よりも、「戦術の可搬性と共有」を前提にSaaS統制を再設計することが、読者企業にとっての最短距離だと考えます。

【用語解説】

vishing(ビッシング)
voice phishing(音声フィッシング)の略で、電話や音声チャットを使ったソーシャルエンジニアリングの詐欺手口である。

social engineering(ソーシャルエンジニアリング)
人間の心理や業務手順を突く手口で、技術的脆弱性ではなく人の判断を悪用する攻撃である。

Okta偽装フィッシング
OktaのSSOログイン画面に似せた偽ページで認証情報を入力させる手口である。

VPN obfuscation(VPN難読化)
MullvadなどのVPN経由で流出経路を隠し、追跡や検知を困難にする手法である。

SSO(シングルサインオン)
1つの認証で複数サービスへアクセスできる仕組みで、偽装ログインページが狙われやすい。

ransomware-as-a-service(RaaS)
ランサムウェアの提供をサービス化し、アフィリエイトが攻撃を実行する犯罪ビジネスモデルである。

The Com(ザ・コム)
英語話者のサイバー犯罪者ネットワークの呼称で、SIMスワップや恐喝などの活動に関与するとされる。

SIM swapping(SIMスワッピング)
携帯キャリアで番号を攻撃者のSIMに移し替え、SMS認証などを乗っ取る手口である。

ドメインインフラの回転
短命のフィッシング用ドメインを多数登録・使い捨てして検知やブロックを回避する運用である。

extortion(恐喝)
盗んだデータの暴露や営業妨害を示唆し、身代金の支払いを迫る行為である。

【参考リンク】

ReliaQuest(公式)(外部)
脅威インテリジェンスと検知・対応を提供するセキュリティ企業で、本件の戦術分析レポートを公開している。

DataBreaches.net(特集)(外部)
ShinyHuntersの恐喝動向やGoogleへの要求言及など、当事者発言を含む取材記事を掲載している。

【参考記事】

ShinyHunters Targets Salesforce Amid Clues of Scattered Spider Collaboration(外部)
ShinyHuntersのSalesforce標的化と、Scattered Spiderとの戦術・インフラ重複を分析する。700超の2025年登録ドメインや7月以降の金融向け増加(+12%)とテック向け減少(-5%)を示し、連携可能性と今後の金融・テクノロジーサービスへの拡大を指摘する。

Researchers firm up ShinyHunters, Scattered Spider link(外部)
Salesforce Data Loaderなどの正規アプリ悪用、Okta偽装、Mullvad VPNの利用など、Scattered Spiderの”標章的”手口への移行を具体例で説明し、The Comとの関連を含めて連携説を補強する。

Financial Services Could Be Next in Line for ShinyHunters(外部)ドメイン分析に基づき、7月以降の金融企業向けドメイン登録が12%増加、テック向けが5%減少した点を強調し、銀行・保険・金融サービスへのリスク上昇を解説する。

Three notorious cybercrime gangs appear to be collaborating(外部)
Telegramチャンネル上の誇示的投稿、RaaS「ShinySp1d3r」主張、短期間でのチャンネル消失を報じ、ブランド増幅と混乱を狙う新段階の恐喝手法として位置づける。

ShinyHunters sent Google an extortion demand; Shiny comments on current activities(外部)
ShinyHuntersがGoogleに恐喝要求を送付したとする当事者の発言を記録し、時期的経緯や今後の攻撃示唆を含むチャット内容を紹介する。

Are Scattered Spider and ShinyHunters one group or two? And who did France arrest?(外部)
UNC6040/UNC6240とUNC3944の区別・重複、BreachForumsの@Sp1d3rhunters、支払い事例の示唆など、帰属の混線と連携の可能性を整理する調査記事である。

【編集部後記】

SalesforceやOktaといった、私たちが日常的に使うSaaSプラットフォームを狙った攻撃が、ここまで巧妙化している現実に驚かれたのではないでしょうか。ShinyHuntersとScattered Spiderという「別々の脅威」が戦術を共有し、連携の可能性まで示している今回の事例は、サイバーセキュリティの地殻変動を象徴しています。

特に注目すべきは、従来のマルウェア中心の攻撃から「人と業務フローの隙間」を突く手法への進化です。電話で巧妙にヘルプデスクを装うvishing、見慣れたOktaログイン画面の偽装、正規アプリを装った承認要求——これらはすべて「普通の業務」に溶け込む設計になっています。技術的な防御だけでは限界があることを、改めて痛感させられます。

金融業界への標的シフト(+12%)も看過できません。顧客の資産や個人情報を扱う金融機関が狙われれば、その影響は個人から企業、そして社会全体へと波及します。一方で、ReliaQuestのような脅威インテリジェンス企業が戦術パターンを可視化し、防御側の対応力向上に貢献していることは希望的な要素です。

私たち一人ひとりができることは、「疑う習慣」を身につけることかもしれません。突然の電話、見慣れない承認画面、普段と違うログイン要求——これらに遭遇したとき、立ち止まって考える時間を作ることが、組織全体を守る第一歩になります。テクノロジーは人を進化させますが、その前に人自身が進化する必要があるのかもしれません。

Continue Reading

Trending