B
今週中
Cordial SpiderおよびSnarky Spiderという2つのサイバー犯罪グループが、Vishing(音声フィッシング)とSSO(シングルサインオン)…
📌 一言でいうと
Cordial SpiderおよびSnarky Spiderという2つのサイバー犯罪グループが、Vishing(音声フィッシング)とSSO(シングルサインオン)の悪用を組み合わせた迅速なSaaS恐喝攻撃を行っています。攻撃者はAiTM(Adversary-in-the-Middle)ページを用いて認証情報を窃取し、信頼されたSaaS環境内で活動することで検知を回避します。これらのグループは2025年10月頃から活動しており、高速なデータ窃取と恐喝を目的としています。
🏢影響範囲
SaaS(SSO統合環境)を利用しているあらゆる組織
✅該当時の対応
多要素認証(MFA)の強化(特にフィッシング耐性のあるFIDO2/WebAuthnの導入)、Vishingに対する従業員教育の実施、SaaS環境における異常なログイン試行の監視強化。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】電話による偽の案内(Vishing)と偽ログイン画面への注意について
お疲れさまです。情報システム担当です。
最近、電話で指示して偽のログイン画面に誘導し、アカウント情報を盗み出す攻撃が確認されています。
ご協力をお願いしたいこと:
1. 電話で「パスワードの再設定」や「認証の更新」を促され、URLを案内された場合は絶対にアクセスしないでください。
2. ログイン画面で不自然な点(URLが正しいか等)に注意し、少しでも怪しいと感じた場合はすぐに情報システム担当へ報告してください。
対応期限: 本日中(周知確認)
お疲れさまです。情報システム担当です。
最近、電話で指示して偽のログイン画面に誘導し、アカウント情報を盗み出す攻撃が確認されています。
ご協力をお願いしたいこと:
1. 電話で「パスワードの再設定」や「認証の更新」を促され、URLを案内された場合は絶対にアクセスしないでください。
2. ログイン画面で不自然な点(URLが正しいか等)に注意し、少しでも怪しいと感じた場合はすぐに情報システム担当へ報告してください。
対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Vishing and Fake Login Pages
Hi everyone,
We have observed an increase in attacks where criminals use phone calls (vishing) to trick users into entering their credentials on fake login pages.
What we need from you:
1. Be extremely cautious if you receive a phone call asking you to reset your password or update your authentication via a provided link.
2. Always verify the URL of the login page. If anything seems suspicious, please report it to the IT security team immediately.
Deadline: Immediate
Hi everyone,
We have observed an increase in attacks where criminals use phone calls (vishing) to trick users into entering their credentials on fake login pages.
What we need from you:
1. Be extremely cautious if you receive a phone call asking you to reset your password or update your authentication via a provided link.
2. Always verify the URL of the login page. If anything seems suspicious, please report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】SaaS環境を標的としたVishingおよびSSO悪用攻撃への対応について
お疲れさまです。Cordial SpiderおよびSnarky SpiderによるSaaS恐喝攻撃に関する情報共有です。
■ 概要
攻撃者はVishingを用いてユーザーをAiTM(Adversary-in-the-Middle)ページへ誘導し、SSO認証情報を窃取します。その後、信頼されたSaaS環境内で活動するため、従来の境界防御では検知が困難な傾向にあります。
■ 影響範囲
- SSO(シングルサインオン)を導入している全てのSaaS環境
■ 対応手順
1. フィッシング耐性のあるMFA(FIDO2/WebAuthn等)への移行を検討し、セッションハイジャックのリスクを低減させる。
2. SaaSの監査ログを監視し、不審な場所やデバイスからのログイン、大量のデータエクスポートを検知するアラートを設定する。
3. 従業員に対し、電話による誘導(Vishing)の危険性について再教育を行う。
■ 参考情報
- CrowdStrike Counter Adversary Operations Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Cordial SpiderおよびSnarky SpiderによるSaaS恐喝攻撃に関する情報共有です。
■ 概要
攻撃者はVishingを用いてユーザーをAiTM(Adversary-in-the-Middle)ページへ誘導し、SSO認証情報を窃取します。その後、信頼されたSaaS環境内で活動するため、従来の境界防御では検知が困難な傾向にあります。
■ 影響範囲
- SSO(シングルサインオン)を導入している全てのSaaS環境
■ 対応手順
1. フィッシング耐性のあるMFA(FIDO2/WebAuthn等)への移行を検討し、セッションハイジャックのリスクを低減させる。
2. SaaSの監査ログを監視し、不審な場所やデバイスからのログイン、大量のデータエクスポートを検知するアラートを設定する。
3. 従業員に対し、電話による誘導(Vishing)の危険性について再教育を行う。
■ 参考情報
- CrowdStrike Counter Adversary Operations Report
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Rapid SaaS Extortion via Vishing and SSO Abuse
Hi team,
This is a technical update regarding the activities of Cordial Spider and Snarky Spider.
■ Overview
These actors utilize Vishing to direct targets to AiTM (Adversary-in-the-Middle) pages, capturing SSO credentials to pivot directly into SaaS applications. Their operational footprint is minimal as they operate within trusted SaaS environments.
■ Scope
- All organizations utilizing SSO-integrated SaaS environments.
■ Mitigation Steps
1. Implement phishing-resistant MFA (e.g., FIDO2/WebAuthn) to mitigate AiTM attacks.
2. Enhance monitoring of SaaS audit logs for anomalous logins and unauthorized data exfiltration.
3. Conduct targeted security awareness training focusing on Vishing techniques.
■ Reference
- CrowdStrike Counter Adversary Operations Report
Priority: High
Deadline: Immediate
Hi team,
This is a technical update regarding the activities of Cordial Spider and Snarky Spider.
■ Overview
These actors utilize Vishing to direct targets to AiTM (Adversary-in-the-Middle) pages, capturing SSO credentials to pivot directly into SaaS applications. Their operational footprint is minimal as they operate within trusted SaaS environments.
■ Scope
- All organizations utilizing SSO-integrated SaaS environments.
■ Mitigation Steps
1. Implement phishing-resistant MFA (e.g., FIDO2/WebAuthn) to mitigate AiTM attacks.
2. Enhance monitoring of SaaS audit logs for anomalous logins and unauthorized data exfiltration.
3. Conduct targeted security awareness training focusing on Vishing techniques.
■ Reference
- CrowdStrike Counter Adversary Operations Report
Priority: High
Deadline: Immediate