音声フィッシング対策ガイド：UNC6040 Vishing Groupの台頭

サイバー犯罪の新たなプレイヤー

UNC6040と名付けられたサイバー犯罪グループが、ソーシャルエンジニアリングの世界で大きな勢力として台頭しています。Googleの脅威インテリジェンスチームによって特定されたこの金銭目的の組織は、人気のクラウド型顧客関係管理（CRM）プラットフォームであるSalesforceを利用する企業を攻撃の標的としています。UNC6040の特徴は、音声フィッシング（通称「ヴィッシング」）を巧みに利用していることです。これは、電話を介した人間同士のやり取りを悪用し、従業員から機密情報を詐取する手口です。

サイバー脅威はソフトウェアの脆弱性を悪用することが多いですが、UNC6040はシステムの背後にいる人々を標的にすることで、その実情を覆します。社内のITサポート担当者になりすますことで、従業員が無意識のうちに組織に侵入するよう仕向けます。この実践的で音声ベースのアプローチは、特にリモートワークの時代において、従業員が見知らぬサポート担当者と話すことに慣れている状況において、信憑性を高めます。

ソーシャルエンジニアリングとSalesforceの融合

UNC6040のキャンペーンの中核を成すのは、Salesforceのユーティリティ「データローダー」を巧妙に利用した策略です。このツールは通常、大量のデータのインポートとエクスポートに使用されます。攻撃者はこのツールを改変し、「My Ticket Portal」といった名前で偽装し、被害者をSalesforceの公式インターフェースから認証させるように誘導します。

承認されると、悪意のあるアプリは組織のCRM環境へのバックドアとして機能し、UNC6040は貴重な顧客データに直接アクセスできるようになります。しかし、欺瞞はそれだけではありません。攻撃者はこの足掛かりを利用して横展開し、Okta、Microsoft 365、Workplaceといった他の社内システムへと移行していくことがよくあります。これはまるでドミノ倒しのように、電話一本から始まり、最終的には広範囲にわたるデータ漏洩へと繋がります。

単なるデータ盗難ではない

UNC6040の活動の影響は、盗まれたデータだけにとどまりません。場合によっては、グループまたはその関連組織が盗まれた情報をネタに、数ヶ月後に恐喝要求を持ちかけてくることもあります。彼らは圧力を強めるため、著名なハッカー集団であるShinyHuntersとのつながりを主張していますが、直接的な関係は確認されていません。

この遅延型恐喝戦略は、他のサイバー犯罪者と連携した可能性のある、計算されたアプローチを示唆しています。また、このような侵害がもたらす長期的なリスクを浮き彫りにしています。組織は最初の侵害からかなり時間が経ってから初めて、その影響の真価を実感する可能性があり、攻撃者は盗んだデータの価値と潜在的な用途を探る時間を持つことになります。

孤立した脅威ではない

UNC6040は孤立して活動しているわけではありません。その戦術は、The Comとして知られる緩やかな組織ネットワークを構成するScattered Spiderなど、他のサイバー犯罪グループと共通点があります。こうした共通点は、金銭目的のサイバー犯罪者にとって、ビッシングが常套手段となっていることを示唆しています。

特に注目すべきは、これらのグループが従来のフィッシング手法を現代の職場環境に適応させている点です。多くの企業がリモートITサポートやアウトソーシングのヘルプデスクに依存しているため、電話に聞き慣れない声が聞こえても警戒しなくなりました。リモートでのやり取りが常態化していることで、攻撃者はより巧妙な行動を取る余地を得ています。

なぜ今これが重要なのか

Salesforceは、脅威の増大を認識し、2025年3月に警告を発し、顧客にこれらの戦術について注意を促しました。同社によると、同社のプラットフォームに脆弱性の証拠はないとのことです。攻撃は、個々のユーザーのサイバーセキュリティ意識の欠如を悪用することに重点を置いています。報告されたすべての事例において、攻撃者は技術的なエクスプロイトではなく、ソーシャルエンジニアリングを用いて防御を突破しました。

この展開は、サイバーセキュリティの状況の変化を浮き彫りにしています。テクノロジープラットフォームがシステムを強化するにつれ、攻撃者はより脆弱な標的、つまり人間へと焦点を移しています。ボイスフィッシングは、昔ながらの欺瞞と最新のツールを融合させており、ハイテク環境でさえローテクな操作によって脆弱であることを示しています。

組織はどのように対応できるか

UNC6040の台頭は、あらゆる規模の企業にとって警鐘です。ファイアウォールやウイルス対策ツールは依然として不可欠ですが、説得力のある電話攻撃を防ぐことはできません。従業員教育は今や重要な防御策です。組織は、予期せぬITリクエスト、通常とは異なるアプリの承認、迅速な対応を求めるプレッシャーといった危険信号を認識できるよう、従業員を教育する必要があります。

さらに、アプリ承認ワークフロー、多要素認証、アクセス制御の制限といった技術的な安全策は、ソーシャルエンジニアリングが成功した場合の影響を抑えるのに役立ちます。アプリの異常なアクティビティを監視し、Salesforceなどのプラットフォームとの連携権限を厳格化することは、もはや「あったらいい」ではなく、「必須」です。

結論

UNC6040は、ソフトウェアの欠陥ではなく、信頼と人間の行動を狙う、増加の一途を辿るサイバー脅威の典型です。その活動は、サイバーセキュリティが単なる技術的な課題ではなく、人間的な課題であることを改めて認識させてくれます。ボイスフィッシングの手口が巧妙化するにつれ、組織はそれらに対抗するための意識向上と技術に等しく投資する必要があります。この呼びかけは一見、助けになるように思えますが、UNC6040が示したように、はるかに深刻な事態の始まりとなる可能性があります。