C
月内に
新興の脅威アクター「Pink」が、ヘルプデスクを装った音声フィッシング(vishing)を用いて組織の認証情報を窃取し、データを窃取・脅迫するキャンペーンを展開…
📌 一言でいうと
新興の脅威アクター「Pink」が、ヘルプデスクを装った音声フィッシング(vishing)を用いて組織の認証情報を窃取し、データを窃取・脅迫するキャンペーンを展開しています。このグループはBlackFileやRedactの再ブランドである可能性が指摘されています。主な手法はITサポートを装い、MFA(多要素認証)を突破してクラウドストレージや生産性ツールからデータを持ち出すことです。
🔍該当判定
- 社外から電話で「ITサポートです」と名乗り、パスワードや認証コードを聞き出そうとする連絡があった
- Microsoft 365やGoogle Workspaceなどのクラウドストレージを利用している
- 社員が電話口でMFA(多要素認証)の承認ボタンを押す運用になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 社員に対し、電話によるパスワードやMFAコードの要求は正規のITサポートであってもあり得ないことを周知する。2. MFAのプッシュ通知承認を慎重に行うよう教育する。3. 不審な電話を受けた際の報告ルートを明確にする。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審な電話への注意について
お疲れさまです。情報システム担当です。
最近、ITサポートやヘルプデスクの担当者を名乗り、電話でパスワードや認証コードを聞き出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、MFA(多要素認証)のコード、認証承認を求められても、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内の指定ルートで情報システム部門へ報告してください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
最近、ITサポートやヘルプデスクの担当者を名乗り、電話でパスワードや認証コードを聞き出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、MFA(多要素認証)のコード、認証承認を求められても、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内の指定ルートで情報システム部門へ報告してください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Fraudulent IT Support Calls
Dear employees,
We have observed a rise in phishing attacks where attackers pose as IT help-desk staff via phone calls to steal login credentials and MFA codes.
What we need from you:
1. Never share your password or MFA codes over the phone, even if the caller claims to be from our IT department.
2. If you receive a suspicious call, hang up immediately and report it to the IT security team through the official channels.
Deadline: Immediate action required
Dear employees,
We have observed a rise in phishing attacks where attackers pose as IT help-desk staff via phone calls to steal login credentials and MFA codes.
What we need from you:
1. Never share your password or MFA codes over the phone, even if the caller claims to be from our IT department.
2. If you receive a suspicious call, hang up immediately and report it to the IT security team through the official channels.
Deadline: Immediate action required
件名: 【共有】脅威アクター「Pink」によるVishingキャンペーンについて
お疲れさまです。脅威アクター「Pink」に関する情報共有です。
■ 概要
Pink(BlackFile/Redactの再ブランドの可能性)が、vishing(音声フィッシング)を用いてITサポートを装い、認証情報およびMFAを窃取してクラウド環境へ侵入する事例が報告されています。侵入後はクラウドストレージ等からデータを窃取し、身代金を要求します。
■ 影響範囲
- クラウドストレージおよび生産性ツールを利用している全組織
■ 対応手順
1. MFAプッシュ通知の乱用(MFA Fatigue)に対する監視と、不審なログイン試行のログ確認。
2. 社員へのvishing対策トレーニングの実施。
3. 条件付きアクセス(Conditional Access)等の導入による、認証情報の窃取後のアクセス制限強化。
■ 参考情報
- Palo Alto Networks Unit 42 / Google Threat Intelligence
対応優先度: 高
対応期限: 速やかに
お疲れさまです。脅威アクター「Pink」に関する情報共有です。
■ 概要
Pink(BlackFile/Redactの再ブランドの可能性)が、vishing(音声フィッシング)を用いてITサポートを装い、認証情報およびMFAを窃取してクラウド環境へ侵入する事例が報告されています。侵入後はクラウドストレージ等からデータを窃取し、身代金を要求します。
■ 影響範囲
- クラウドストレージおよび生産性ツールを利用している全組織
■ 対応手順
1. MFAプッシュ通知の乱用(MFA Fatigue)に対する監視と、不審なログイン試行のログ確認。
2. 社員へのvishing対策トレーニングの実施。
3. 条件付きアクセス(Conditional Access)等の導入による、認証情報の窃取後のアクセス制限強化。
■ 参考情報
- Palo Alto Networks Unit 42 / Google Threat Intelligence
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Vishing Campaign by Threat Actor 'Pink'
Dear Security Team,
This is a notification regarding the threat actor known as 'Pink'.
■ Overview
Pink (potentially a rebrand of BlackFile or Redact) is conducting vishing campaigns impersonating IT help-desks to phish credentials and bypass MFA. Once initial access is gained, they exfiltrate data from enterprise cloud storage and productivity suites for extortion purposes.
■ Scope
- Organizations utilizing enterprise cloud storage and productivity tools.
■ Recommended Actions
1. Monitor for MFA fatigue patterns and unusual login attempts in identity provider logs.
2. Conduct targeted vishing awareness training for employees.
3. Strengthen Conditional Access policies to limit the impact of compromised credentials.
■ Reference
- Palo Alto Networks Unit 42 / Google Threat Intelligence
Priority: High
Deadline: Immediate
Dear Security Team,
This is a notification regarding the threat actor known as 'Pink'.
■ Overview
Pink (potentially a rebrand of BlackFile or Redact) is conducting vishing campaigns impersonating IT help-desks to phish credentials and bypass MFA. Once initial access is gained, they exfiltrate data from enterprise cloud storage and productivity suites for extortion purposes.
■ Scope
- Organizations utilizing enterprise cloud storage and productivity tools.
■ Recommended Actions
1. Monitor for MFA fatigue patterns and unusual login attempts in identity provider logs.
2. Conduct targeted vishing awareness training for employees.
3. Strengthen Conditional Access policies to limit the impact of compromised credentials.
■ Reference
- Palo Alto Networks Unit 42 / Google Threat Intelligence
Priority: High
Deadline: Immediate