「Pink」が偽ヘルプデスク攻撃、Lapsus$の手口を踏襲
新たな身代金要求集団「Pink」が、偽ヘルプデスク電話を使った音声フィッシングで企業の認証情報を窃取。Lapsus$やScattered Spiderが確立したソーシャルエンジニアリング手法を踏襲し、72時間の応答期限を設定してデータ公開を脅迫する。
新たな身代金要求(ランサムウェアではない)集団「Pink」が出現した。Palo Alto Networksの脅威インテリジェンス部門Unit 42が最初に確認したこのグループは、音声フィッシング(vishing)と偽のヘルプデスク電話を武器に、企業のIT環境へ初期アクセスを得て、機密データを窃取、公開を盾に身代金を要求する。
The Registerの報道によれば、Pinkのデータリークサイトは5月31日に公開された。Unit 42はこのグループをクラスター「CL-CRI-1147」として追跡している。「PinkはvishingとITなりすましを用いて認証情報やMFA(多要素認証)をフィッシングし、その後、企業のクラウドストレージとプロダクティビティデータを窃取して被害者を脅迫する」と、脅威インテリジェンス企業はLinkedInの投稿で述べている。
よく知られた手口
この攻撃手法に聞き覚えがある読者も多いだろう。Pinkは、混沌とした犯罪集団Lapsus$が2021年から2022年にかけての身代金強奪騒動で広めた手口を、そのまま踏襲している。Lapsus$は当時、Nvidia、Microsoft、Oktaなどを標的に、電話ベースの侵入手法を確立した。
その後、Scattered Spiderがその役割を引き継いだ。Scattered Spiderは2023年のラスベガスカジノでのデジタル強盗で最もよく知られており、MGMのネットワークに侵入するのに要したのはわずか10分間のヘルプデスク電話だったと伝えられている。
直近ではShinyHuntersが同じ手法を用い、TicketmasterやAT&T、その他のSalesforce顧客、さらにCanvasのデジタル学習プラットフォームを利用する数千の学校や大学から機密データを窃取している。
これら3つのギャングすべてで複数の逮捕者が出ているにもかかわらず、彼らは再び現れて新たな組織を被害に遭わせ続けている。
The Comとの関連性
GoogleのMandiantやUnit 42を含むほとんどのインシデント対応組織は、これらの犯罪集団の多くを「The Com」と関連付けている。The Comは主に英語を話すメンバーからなる緩やかなネットワークで、相互接続されたハッカー、SIMスワッパー、恐喝者の集団であり、その一部のサブグループはリアルな暴力犯罪の請負も行っている。
Unit 42によれば、今回のPinkも「The Comと関連のある攻撃者である可能性が高い」という。数カ月にわたって「複数の」脅迫攻撃を調査してきたUnit 42は、6月1日、既存の脅迫交渉において新たな動きを発見した。
「2026年6月1日、これまで一度も返答を受けたことがなかった既存の脅迫交渉(The Com関連クラスターに起因すると見られる)に、フリーのウェブメールアカウントを介して新たな脅威アクターから通信が届きました」と、Unit 42のアナリストRichard Emerson氏とCuong Dinh氏は水曜日の脅威インテリジェンス投稿で述べている。「アクターは新しいqTox IDとPinkブランドに関連するリークサイトを提供しましたが、元の脅迫通知からほぼ同一の情報を窃取したと参照していました」
Pinkのデータ窃取グループは、被害者に対して応答の期限を72時間に設定。その期間内に応答がなければ、窃取したデータを公開すると脅迫している。
ソーシャルエンジニアリングの進化
Lapsus$やScattered Spiderが確立したこの手法は、技術的な難易度の高さよりも人間の心理的脆弱性を突く点で極めて効果的だ。従来のフィッシングメールと異なり、電話を使った音声フィッシングは、IT部門の担当者が「正当なサポート依頼」と誤認しやすく、MFAのバイパスにもつながる。
特に、攻撃者が事前に収集した社員情報(名前、役職、デプロイ、上司の名前など)を電話で提示することで、ヘルプデスク担当者の警戒心を下げ、パスワードリセットやMFAトークンの再発行を引き出す。Scattered SpiderがMGMに対して10分で成功させたという事例は、この手法の危険性を如実に示している。
Unit 42が今回の調査で確認したPinkの侵入パターンも、これら先例と酷似している。攻撃者はまず標的組織の公開情報を収集し、従業員を装ってヘルプデスクに電話。認証情報をリセットさせた上で、VPNやクラウドコンソールにアクセス、データを大量に窃取する。
被害が続く理由
複数の逮捕劇があったにもかかわらず、この種の攻撃が収束しない理由は、The Comのような緩やかなネットワーク構造にある。中心的なリーダーを逮捕しても、そのノウハウやツールは他のメンバーに受け継がれ、新たなグループが次々と出現する。
Pinkが新たなブランドとして登場したことも、この構造を反映している。Unit 42は「既存の脅迫通知とほぼ同一の情報」をPinkが参照していたことを発見しており、これは同じ攻撃者集団が名称を変えて再登場した可能性を示唆する。
企業側の対策も追いついていない。ヘルプデスクにおける電話での本人確認プロセスは、多くの組織で依然として脆弱だ。MFAの導入が進んでも、ヘルプデスクが電話でMFAをバイパスできる権限を持っている場合、その経路が攻撃の入り口になる。
編集部の見解
短期的影響: 今後3〜6カ月で、Pinkと同様の手法を使う新たなグループがさらに出現する可能性が高い。特にThe Comのネットワークからスピンオフする形で、ブランド名を変えた脅迫集団が次々とリークサイトを開設するだろう。企業のヘルプデスク部門は、電話での認証情報リセットプロセスを直ちに見直す必要がある。特に、MFAのリセットやパスワード変更を電話だけで完了させない運用フローが急務だ。Voice IDやコールバック確認の導入が有効な対策として浮上すると見られる。
長期的視点: 1〜3年のスパンでは、ソーシャルエンジニアリング対策の自動化・標準化が進むと予想する。AIを活用したリアルタイムの不審電話検知や、ID管理システムとヘルプデスクの連携強化が製品・サービスの形で登場するだろう。また、サイバー保険の引受条件として、ヘルプデスクの認証プロセスに対する監査が厳格化される可能性がある。根本的には、人間が電話で認証情報を扱うというアーキテクチャそのものが問い直され、ゼロトラストの原則がヘルプデスク運用にも浸透していくと言えそうだ。
編集部からの問い: Pinkのような新興脅迫集団がLapsus$やScattered Spiderと全く同じ手口を使っていることは、サイバー犯罪の「テンプレート化」が進んでいる証拠と見るべきだろう。防御側も攻撃のパターンが読めている以上、対策は理論上可能なはずだ。では、なぜ企業のヘルプデスクはいまだにこの手口に引っかかり続けるのか。技術的な対策以前に、組織のセキュリティ文化やインシデント対応訓練の質に問題があるのではないか。読者の皆様には、自社のヘルプデスクが10分の電話で突破され得るかどうか、一度シミュレーションしてみることを勧めたい。
参考
よくある質問
- Pinkとはどのようなサイバー犯罪グループか
- Pinkは2026年5月末にUnit 42が確認した新たな身代金要求集団です。音声フィッシング(vishing)と偽のヘルプデスク電話を使い、企業の認証情報を窃取してクラウドストレージやプロダクティビティデータを奪い、公開を盾に身代金を要求します。72時間の応答期限を設定する点が特徴で、Lapsus$やScattered Spiderと同様の手口を用いています。
- この攻撃から身を守るにはどうすればよいか
- ヘルプデスクにおける電話での認証情報リセットプロセスを直ちに見直す必要があります。パスワード変更やMFAリセットを電話だけで完了させず、コールバック確認やVoice IDの導入、別承認者による承認フローを設定することが有効です。また、従業員に対するソーシャルエンジニアリング攻撃の訓練も重要で、不審な電話の報告手順を明確にしておくべきです。
コメント