C
月内に
脅威アクターUNC6671(BlackFile)による、高度な音声フィッシング(vishing)を用いた恐喝キャンペーン
📌 一言でいうと
脅威アクターUNC6671(BlackFile)による、高度な音声フィッシング(vishing)を用いた恐喝キャンペーンが確認されました。攻撃者はAiTM(Adversary-in-the-Middle)手法を用いてMFAをバイパスし、Microsoft 365やOktaなどのクラウド環境へ不正アクセスします。その後、PythonやPowerShellスクリプトを用いて機密データを自動的に抽出・窃取し、組織を恐喝します。
🔍該当判定
- Microsoft 365(旧Office 365)を社内で利用している
- Oktaなどのシングルサインオン(SSO)サービスを導入している
- 社員が電話やSMSでの認証コード通知(MFA)を利用している
- 社外からクラウド環境へアクセスできる設定になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 音声フィッシング(vishing)に対する社員教育の徹底。 2. フィッシング耐性のあるMFA(FIDO2/WebAuthn等)への移行。 3. クラウド環境における不審なログイン試行やデータエクスポートの監視強化。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】電話によるなりすまし詐欺(vishing)への注意について
お疲れさまです。情報システム担当です。
最近、電話でITサポートなどを装い、パスワードや認証コードを盗み出そうとする高度な詐欺攻撃が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、認証コード、または特定のURLへのアクセスを求められた場合は、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに社内のセキュリティ担当者へ報告してください。
対応期限: 本日中(周知確認)
お疲れさまです。情報システム担当です。
最近、電話でITサポートなどを装い、パスワードや認証コードを盗み出そうとする高度な詐欺攻撃が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、認証コード、または特定のURLへのアクセスを求められた場合は、絶対に応じないでください。
2. 不審な電話を受けた場合は、すぐに社内のセキュリティ担当者へ報告してください。
対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Voice Phishing (Vishing) Attacks
Hi everyone,
We have received reports of sophisticated voice phishing attacks where attackers pose as IT support to steal passwords and authentication codes.
What we need from you:
1. Never provide your password, MFA codes, or click on links provided over the phone, even if the caller claims to be from IT.
2. If you receive a suspicious call, please report it to the security team immediately.
Deadline: Immediate
Hi everyone,
We have received reports of sophisticated voice phishing attacks where attackers pose as IT support to steal passwords and authentication codes.
What we need from you:
1. Never provide your password, MFA codes, or click on links provided over the phone, even if the caller claims to be from IT.
2. If you receive a suspicious call, please report it to the security team immediately.
Deadline: Immediate
件名: 【共有】UNC6671 (BlackFile) によるvishingおよびAiTM攻撃への対応について
お疲れさまです。UNC6671によるアイデンティティ中心の攻撃に関する情報共有です。
■ 概要
攻撃者はvishingを用いてユーザーを誘導し、AiTM (Adversary-in-the-Middle) 手法でMFAをバイパスしてMicrosoft 365やOktaのセッションを奪取します。その後、Python/PowerShellを用いてデータを自動的に窃取し、恐喝を行うライフサイクルが確認されています。
■ 影響範囲
- Microsoft 365 / Okta 導入組織
■ 対応手順
1. FIDO2準拠のセキュリティキーなど、フィッシング耐性のあるMFAへの移行を検討してください。
2. 条件付きアクセス(Conditional Access)を厳格化し、不審な場所やデバイスからのアクセスを制限してください。
3. クラウド監査ログにおいて、短期間での大量データエクスポートや不審なAPIコールを監視してください。
■ 参考情報
- Mandiant/Google Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。UNC6671によるアイデンティティ中心の攻撃に関する情報共有です。
■ 概要
攻撃者はvishingを用いてユーザーを誘導し、AiTM (Adversary-in-the-Middle) 手法でMFAをバイパスしてMicrosoft 365やOktaのセッションを奪取します。その後、Python/PowerShellを用いてデータを自動的に窃取し、恐喝を行うライフサイクルが確認されています。
■ 影響範囲
- Microsoft 365 / Okta 導入組織
■ 対応手順
1. FIDO2準拠のセキュリティキーなど、フィッシング耐性のあるMFAへの移行を検討してください。
2. 条件付きアクセス(Conditional Access)を厳格化し、不審な場所やデバイスからのアクセスを制限してください。
3. クラウド監査ログにおいて、短期間での大量データエクスポートや不審なAPIコールを監視してください。
■ 参考情報
- Mandiant/Google Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
Subject: [Intel] UNC6671 (BlackFile) Vishing and AiTM Campaign
Hi team, sharing intelligence regarding the UNC6671 threat actor.
■ Overview
UNC6671 uses vishing to lure targets into AiTM (Adversary-in-the-Middle) flows, bypassing MFA to compromise Microsoft 365 and Okta accounts. They utilize Python and PowerShell scripts for programmatic data exfiltration to facilitate extortion.
■ Scope
- Organizations utilizing Microsoft 365 and Okta
■ Mitigation Steps
1. Transition to phishing-resistant MFA (e.g., FIDO2/WebAuthn).
2. Tighten Conditional Access policies to restrict access from untrusted locations/devices.
3. Monitor cloud audit logs for anomalous data exfiltration patterns or suspicious API activity.
■ Reference
- Mandiant/Google Threat Intelligence Report
Priority: High
Deadline: Immediate
Hi team, sharing intelligence regarding the UNC6671 threat actor.
■ Overview
UNC6671 uses vishing to lure targets into AiTM (Adversary-in-the-Middle) flows, bypassing MFA to compromise Microsoft 365 and Okta accounts. They utilize Python and PowerShell scripts for programmatic data exfiltration to facilitate extortion.
■ Scope
- Organizations utilizing Microsoft 365 and Okta
■ Mitigation Steps
1. Transition to phishing-resistant MFA (e.g., FIDO2/WebAuthn).
2. Tighten Conditional Access policies to restrict access from untrusted locations/devices.
3. Monitor cloud audit logs for anomalous data exfiltration patterns or suspicious API activity.
■ Reference
- Mandiant/Google Threat Intelligence Report
Priority: High
Deadline: Immediate