C
月内に
新興のサイバー犯罪グループ「BlackFile」が、流通・ホテル業界を標的にしたアカウント奪取攻撃を展開しています
📌 一言でいうと
新興のサイバー犯罪グループ「BlackFile」が、流通・ホテル業界を標的にしたアカウント奪取攻撃を展開しています。ITサポート担当者を装った電話(Vishing)で社員を騙し、偽のログインページへ誘導してSSOアカウントとMFA認証コードを窃取します。侵入後はMFAデバイスを自身の端末に登録して永続性を確保し、SalesforceやSharePointなどのクラウドサービスから機密データを窃取します。
🏢影響範囲
流通、ホテル、宿泊業界の企業(特にクラウドサービスを利用している組織)
✅該当時の対応
1. ITサポートを装った不審な電話やSMSへの注意喚起を徹底すること。 2. MFA(多要素認証)の登録デバイスの変更や追加に関する監視を強化すること。 3. SSOログイン時のURLが正当なものであるかを確認する教育を実施すること。 4. クラウドストレージ(SharePoint等)における不審な大量ダウンロードやAPI利用の検知ルールを整備すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審な電話への注意について
お疲れさまです。情報システム担当です。
現在、ITサポート担当者を装い、電話でパスワードや認証コードを聞き出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 「認証設定の更新が必要」などの理由で、電話で外部サイトへの誘導や認証コードの入力を求められても、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内のセキュリティ担当者へ報告してください。
3. ログイン画面が表示された際は、URLが正しい社内ドメインであるか必ず確認してください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
現在、ITサポート担当者を装い、電話でパスワードや認証コードを聞き出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 「認証設定の更新が必要」などの理由で、電話で外部サイトへの誘導や認証コードの入力を求められても、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内のセキュリティ担当者へ報告してください。
3. ログイン画面が表示された際は、URLが正しい社内ドメインであるか必ず確認してください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Phishing Calls Impersonating IT Support
Dear employees,
We have observed an increase in attacks where hackers impersonate IT support staff via phone calls to steal account credentials.
Please follow these guidelines:
1. Never provide your password or MFA (One-Time Password) codes over the phone or enter them into websites linked via a phone call.
2. If you receive a suspicious call claiming that your "authentication settings need updating," hang up immediately and report it to the security team.
3. Always verify that the URL of the login page is the official corporate domain before entering your credentials.
Deadline: Immediate action required.
Dear employees,
We have observed an increase in attacks where hackers impersonate IT support staff via phone calls to steal account credentials.
Please follow these guidelines:
1. Never provide your password or MFA (One-Time Password) codes over the phone or enter them into websites linked via a phone call.
2. If you receive a suspicious call claiming that your "authentication settings need updating," hang up immediately and report it to the security team.
3. Always verify that the URL of the login page is the official corporate domain before entering your credentials.
Deadline: Immediate action required.
件名: 【共有】脅威アクター「BlackFile」によるVishingおよびアカウント奪取について
お疲れさまです。BlackFile(UNC6671/Cordial Spider)による攻撃手法に関する情報共有です。
■ 概要
VoIPを用いたVishing(音声フィッシング)によりSSO資格情報とMFAコードを窃取し、正規ユーザーとしてクラウド環境(Salesforce, SharePoint等)に侵入する攻撃です。侵入後、攻撃者のデバイスをMFAデバイスとして登録し、永続性を確保します。
■ 影響範囲
- SSOおよびMFAを導入している全クラウドサービス
- 特に流通・ホテル業界の組織
■ 対応手順
1. MFAデバイスの新規登録ログを監視し、不審なデバイス追加がないか確認してください。
2. Microsoft Graph APIやSharePoint等での不自然な大量データエクスポートを検知するアラートを設定してください。
3. ユーザーに対し、電話による認証更新依頼は行わないことを再周知してください。
■ 参考情報
- Google Cloud Threat Intelligence / Security Vendor Reports
対応優先度: 高
対応期限: 今週中
お疲れさまです。BlackFile(UNC6671/Cordial Spider)による攻撃手法に関する情報共有です。
■ 概要
VoIPを用いたVishing(音声フィッシング)によりSSO資格情報とMFAコードを窃取し、正規ユーザーとしてクラウド環境(Salesforce, SharePoint等)に侵入する攻撃です。侵入後、攻撃者のデバイスをMFAデバイスとして登録し、永続性を確保します。
■ 影響範囲
- SSOおよびMFAを導入している全クラウドサービス
- 特に流通・ホテル業界の組織
■ 対応手順
1. MFAデバイスの新規登録ログを監視し、不審なデバイス追加がないか確認してください。
2. Microsoft Graph APIやSharePoint等での不自然な大量データエクスポートを検知するアラートを設定してください。
3. ユーザーに対し、電話による認証更新依頼は行わないことを再周知してください。
■ 参考情報
- Google Cloud Threat Intelligence / Security Vendor Reports
対応優先度: 高
対応期限: 今週中
Subject: [Threat Intel] Account Takeover Campaign by 'BlackFile' (UNC6671)
Dear Security Team,
This is a technical briefing regarding the activities of the threat actor 'BlackFile' (also tracked as UNC6671 or Cordial Spider).
■ Overview
The actor utilizes VoIP-based Vishing to deceive employees into providing SSO credentials and MFA codes via phishing pages. After gaining initial access, they register their own devices as MFA factors to maintain persistence and exfiltrate data from Salesforce and SharePoint using legitimate APIs.
■ Scope
- All cloud services utilizing SSO and MFA.
- Specifically targeting Retail and Hospitality sectors.
■ Mitigation Steps
1. Audit MFA device registration logs for unauthorized additions.
2. Implement monitoring for anomalous data exfiltration patterns via Microsoft Graph API and SharePoint.
3. Reinforce user awareness training regarding Vishing and social engineering.
■ Reference
- Google Cloud Threat Intelligence / Security Vendor Reports
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical briefing regarding the activities of the threat actor 'BlackFile' (also tracked as UNC6671 or Cordial Spider).
■ Overview
The actor utilizes VoIP-based Vishing to deceive employees into providing SSO credentials and MFA codes via phishing pages. After gaining initial access, they register their own devices as MFA factors to maintain persistence and exfiltrate data from Salesforce and SharePoint using legitimate APIs.
■ Scope
- All cloud services utilizing SSO and MFA.
- Specifically targeting Retail and Hospitality sectors.
■ Mitigation Steps
1. Audit MFA device registration logs for unauthorized additions.
2. Implement monitoring for anomalous data exfiltration patterns via Microsoft Graph API and SharePoint.
3. Reinforce user awareness training regarding Vishing and social engineering.
■ Reference
- Google Cloud Threat Intelligence / Security Vendor Reports
Priority: High
Deadline: End of this week