Threat Intelligence

SaaSサイバー犯罪:ボイスフィッシングとSSO悪用が迅速な攻撃を加速

サイバー犯罪は、SaaSエコシステム内でますます迅速、標的型、そして驚くほど効率的になっている。研究者たちは、ボイスフィッシングとシングルサインオン(SSO)の悪用を駆使し、前例のないスピードでデータを窃取する2つの異なるグループを特定した。

Threat Digest 1 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
サイバー攻撃の脅威にさらされた複雑なSaaS環境を表す、抽象的なデジタルデータフローの視覚化。光るノードと接続が特徴。

Key Takeaways

  • Cordial SpiderとSnarky Spiderという2つのサイバー犯罪グループが、SaaS環境内で迅速かつ高影響な攻撃を展開している。
  • 彼らの主な戦術は、vishing を通じてユーザーを騙し、悪意のあるSSOテーマのフィッシングページにアクセスさせることだ。
  • 侵害されたSSO認証情報は、アイデンティティプロバイダー(IdP)を介して、攻撃者にSaaSエコシステム全体へのアクセス権を与える。
  • 攻撃者は迅速に行動し、しばしば1時間以内にデータを流出し、検知アラートを抑制する。
  • 従来のセキュリティ対策では、これらの stealthy でスピード重視の侵入に対しては不十分な可能性がある。

昔ながらの、時間のかかるランサムウェア攻撃はもう過去の話だ。脅威の様相は、目まぐるしく、そして急速に変化している。Cordial SpiderとSnarky Spiderと名付けられた2つのサイバー犯罪組織が、ソフトウェア・アズ・ア・サービス(SaaS)環境という信頼された領域をほぼ独占的に舞台に、猛烈なスピードでのデータ窃取と恐喝キャンペーンを仕掛けているのだ。彼らのオペレーションは洗練され、痕跡は希薄で、より伝統的な侵入手法に慣れた防御者たちにとっては、 daunting な課題となっている。両グループとも、少なくとも2025年10月以降活動しており、ネイティブ英語話者とされるSnarky Spiderは、悪名高いe-crime集団The Comとの関連も示唆されている。

彼らの手口の中核は、驚くほど効果的だ。ボイスフィッシング(vishing)とシングルサインオン(SSO)の悪用という、強力なカクテルである。攻撃者はまず電話でITサポートを装って接触し、標的ユーザーを巧妙に誘導して、悪意のあるSSOテーマの敵対者中間(AiTM)ページにアクセスさせる。このデジタルな煉獄で、認証データが吸い上げられ、SSO統合型のSaaSアプリケーションへの直接アクセス権を奪取するのだ。その結果?攻撃者は、従来の境界防御を迂回し、被害者ネットワークに直接侵入する。CrowdStrikeのCounter Adversary Operationsが的確に指摘したように、「信頼されたSaaS環境内でのみ活動することで、彼らはフットプリントを最小限に抑えつつ、影響発現までの時間を加速させている」のだ。

これは単なる漸進的な変化ではない。攻撃ベクトルの significant な進化を意味する。Mandiantの2026年1月のレポートは、これらのクラスターを、恐喝をテーマにした攻撃で知られるShinyHuntersグループが用いた戦術の拡張として強調した。 modus operandi は、ITスタッフになりすますという、古典的なソーシャルエンジニアリングの手法だが、実行されるスピードと技術的洗練度によって、そのレベルは格上げされている。被害者は単に騙されるだけでなく、攻撃者によって積極的に誘導され、認証情報と、 critical な多要素認証(MFA)コードの両方を収集するために設計されたフィッシングログインページへと導かれるのだ。

なぜSaaS環境にとってこれが重要なのか?

SaaSアプリケーションに大きく依存する組織にとって、その意味合いは profound である。これらの攻撃は、既存のセキュリティレイヤーに正面から立ち向かうのではなく、それを回避するように設計されている。クラウドベースのサービスに内在する信頼メカニズムを悪用し、正当なユーザーアクセスを侵害のゲートウェイに変えてしまうのだ。特に alarming なのは、そのスピードだ。報告によれば、Snarky Spiderは、最初の侵害から1時間以内にデータ流出を開始できるという。この迅速な実行ウィンドウは、セキュリティチームに、検知はおろか、修復のためにも precious な時間をほとんど残さない。

研究者たちはさらに、Cordial Spiderに関連付けられたCL-CRI-1116という designation を、2026年2月以降、小売およびホスピタリティセクターに結びつけている。彼らの侵入は、「living-off-the-land」(LotL)技術に大きく依存しており、侵害されたマシンに既に存在する正規のシステムツールを使用して、検知を回避する。さらに obfuscation の層を追加するために、彼らは頻繁に住宅用プロキシを使用する。この戦略は、彼らの真の地理的 origin を隠蔽するのに役立ち、IPレピュテーションベースの基本的なブロックメカニズムを回避することを可能にする。

最初の認証情報窃取の後に続くのは、特権昇格とデータ流出における masterclass である。攻撃者は単にアクセス権を得るだけでなく、それを維持し、 any alarm bells を抑制するために積極的に活動する。一般的な戦術としては、MFAをバイパスするために新しいデバイスを登録することが含まれるが、 critical なのは、事前に登録されていたデバイスをすべて削除することだ。これに続いて、不正なデバイス登録に関連する自動メール通知をすべて自動削除するように受信トレイのルールを設定する。沈黙こそが彼らの ally である。

次のフェーズで、 real value extraction が始まる。収集した社内従業員ディレクトリを使用し、さらにソーシャルエンジニアリングを駆使して、高特権アカウントを標的とする。 elevated access が確保されると、攻撃者はGoogle Workspace、HubSpot、Microsoft SharePoint、SalesforceなどのSaaS環境をnavigate し、高価値ファイルやbusiness-critical なレポートを meticulously に検索する。関心のあるデータは、自らが管理するインフラストラクチャに流出される。

「観測されたほとんどのケースで、これらの認証情報は組織のアイデンティティプロバイダー(IdP)へのアクセスを許可し、複数のSaaSアプリケーションへの単一の入り口を提供する。IdPと接続サービス間の信頼関係を悪用することで、攻撃者は個々のSaaSアプリを侵害する必要性を回避し、代わりに単一の認証済みセッションで、被害者のSaaSエコシステム全体にわたって横断的に移動する。」

CrowdStrikeからのこの引用は、問題の核心を突いている。攻撃者は個別のアプリケーションを侵害しているのではなく、まさに「王国の鍵」、すなわちアイデンティティプロバイダー(IdP)を侵害しているのだ。この単一の侵害ポイントにより、彼らはSaaSエコシステム全体を、単一の相互接続されたエンティティとして扱うことができる。これは、クラウドセキュリティのstrength が、個々のアプリケーションの保護だけでなく、central identity management の整合性にもかかっていることを stark に思い出させる。

ここでの市場力学は clear だ。組織が効率化のためにSaaSをますます採用するにつれて、攻撃対象領域は拡大し、シフトしている。攻撃者はデータに従っており、データはますますこれらのクラウドベースのプラットフォームに resides している。vishing の洗練度と、SSOの pervasive な使用を組み合わせることで、これらの脅威アクターが expertly に悪用する脆弱性が生まれている。これは、サイバーセキュリティ防御にも同様の agility と foresight を要求する、high-speed、low-footprint アプローチなのだ。

従来の防御で十分か?

率直に言って、そうではない。シグネチャベースの検知や、多くの異常検知システムに依存しても、正規のツールと認証情報を使用し、信頼されたアプリケーションの境界内で活動する攻撃者に対しては、struggle するだろう。焦点は、強力なIDおよびアクセス管理(IAM)、SaaSアプリケーション内でのユーザーおよびエンティティ行動の継続的な監視、そしてvishing 戦術に specifically に対処する強化されたフィッシング啓発トレーニングへと shift する必要がある。組織は侵害を前提とし、resilience を構築する必要がある。

vishing とSSO悪用の統合は、SaaSを標的とするサイバー犯罪グループにとって、significant な戦術的 leap を表している。これは単なる認証情報の窃盗ではなく、信頼とスピードの武器化だ。データは、セキュリティリーダーやIT部門が worldwide で即座の attention を要求する、clear かつ present な危険を support している。

主要なポイント

  • Cordial SpiderとSnarky Spiderという2つのサイバー犯罪グループが、SaaS環境内で迅速かつ高影響な攻撃を展開している。
  • 彼らの主な戦術は、vishing を通じてユーザーを騙し、悪意のあるSSOテーマのフィッシングページにアクセスさせることだ。
  • 侵害されたSSO認証情報は、アイデンティティプロバイダー(IdP)を介して、攻撃者にSaaSエコシステム全体へのアクセス権を与える。
  • 攻撃者は迅速に行動し、しばしば1時間以内にデータを流出し、検知アラートを抑制する。
  • 従来のセキュリティ対策では、これらの stealthy でスピード重視の侵入に対しては不十分な可能性がある。

🧬 関連インサイト

よくある質問

Vishing攻撃とは何ですか? Vishing、またはボイスフィッシングは、犯罪者が電話を使用して、金銭情報やログイン認証情報などの機密情報を明らかにさせたり、攻撃者に有利な行動をとらせたりするために被害者を騙すソーシャルエンジニアリング攻撃の一種です。

サイバー犯罪者はどのようにSSOを悪用しますか? サイバー犯罪者は、フィッシングやvishingなどを通じて有効なユーザー認証情報を取得することから始め、SSOを悪用します。これらの認証情報を入手すると、SSOポータルにアクセスでき、それによって、認証にそのSSOを使用するすべての接続SaaSアプリケーションに、個々のアプリケーションを侵害することなくアクセスできるようになります。

Living-off-the-land(LotL)技術とは何ですか? Living-off-the-land(LotL)とは、脅威アクターが、ターゲットシステムに既に存在する正規の事前インストール済みツールやアプリケーションを使用して悪意のあるアクティビティを実行するサイバー攻撃の一種を指します。これにより、彼らの活動は通常のシステム操作との区別が困難になり、悪意のある実行可能ファイルを監視するセキュリティソフトウェアの検知を回避します。

Written by
Threat Digest Editorial Team

Curated insights, explainers, and analysis from the editorial team.

#sso-abuse #saas-security #cybercrime #data-extortion #identity-provider #vishing
More in Threat Intelligence →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by The Hacker News

Related Stories