サイバー犯罪グループ「UNC3753」が、2026年1月から5月にかけて、米国のプロフェッショナル、法律、金融サービス業界の数十社を標的とした大規模なデータ窃盗および恐喝キャンペーンを展開していることが明らかになりました。このグループは、音声フィッシング(ビッシング)やソーシャルエンジニアリング、さらには物理的な侵入といった多岐にわたる手口を駆使し、企業ネットワークへの不正アクセスと機密データの窃取を図っています。従来の技術的な防御をすり抜ける、人間心理を巧みに操る手口が特徴であり、企業は新たな脅威への対応を迫られています。
UNC3753とは?巧妙な手口と背景
Googleの脅威インテリジェンスグループ(GTIG)とMandiantの調査によると、UNC3753は「Chatty Spider」「Luna Moth」「Silent Ransom Group (SRG)」といった別名で知られる、金銭を目的としたサイバー犯罪グループです。このグループは、2026年1月から5月にかけて、米国を拠点とするプロフェッショナルサービス、法律事務所、金融機関など数十の組織を狙い、大規模なデータ窃盗と恐喝キャンペーンを展開してきました。
UNC3753の活動は、過去にBazarCall形式のキャンペーンを展開していた脅威クラスター「UNC2686」と戦術的な重複が見られると指摘されています。さらに、これらのグループは、かつて猛威を振るったランサムウェアギャング「Conti」の派生組織であると評価されており、その攻撃手法には高度な組織性と洗練された技術が垣間見えます。
ランサムウェアから恐喝中心への戦略転換
UNC3753は過去にLockBit Blackランサムウェアを展開していた時期もありましたが、2022年以降は主に「恐喝のみ」のオペレーションに焦点を移しています。これは、データを暗号化するランサムウェア攻撃が、復旧プロセスや法執行機関による追跡のリスクを伴う一方で、窃取したデータを公開すると脅して金銭を要求する恐喝モデルの方が、より効率的かつリスクの低い収益源となりうると判断したためと考えられます。被害企業は、要求に応じなければ機密情報が「LEAKEDDATA」のようなデータ漏洩サイトで公開されるというプレッシャーに直面します。
初期の攻撃手法:サブスクリプション詐欺とコールバックフィッシング
UNC3753の初期のキャンペーンでは、サブスクリプションのキャンセルを装ったメールを送りつけ、被害者に電話をかけさせる「コールバックフィッシング」の手口が用いられていました。この段階で、攻撃者はリモートアクセスソフトウェアを被害者のマシンにインストールさせ、足がかりを築いていました。しかし、彼らの手口は時間とともに進化し、より巧妙で直接的なソーシャルエンジニアリングへとシフトしていきます。
音声フィッシング(ビッシング)とソーシャルエンジニアリングの進化
UNC3753の攻撃の中心にあるのは、音声フィッシング(ビッシング)とソーシャルエンジニアリングを組み合わせた欺瞞的な手法です。攻撃者は、企業のITサポート担当者になりすまし、被害者にリモートアクセスを許可させたり、特定のソフトウェアをインストールさせたりします。
ITサポートを装った巧妙な誘導
攻撃は、しばしば無害に見える請求書関連のメールから始まります。これらのメールには悪意のあるリンクや添付ファイルは含まれておらず、内容は簡潔で一般的なものです。しかし、その真の目的は、受信者の心に「セキュリティ上の懸念」を抱かせ、その後の電話でのやり取りに応じやすくすることにあります。この初期の接触は、被害者が警戒心を抱くきっかけを作り、続くビッシング攻撃の土台となります。
メールを受け取った被害者が不安を感じているタイミングを見計らい、攻撃者はITサポート担当者として電話をかけます。そして、「データ移行」や「請求書の問題解決」といったもっともらしい口実を使い、被害者を説得して画面共有セッションを開始させます。Zoom、Microsoft Teams、Quick Assistといった企業で一般的に利用されているコミュニケーションプラットフォームが悪用されるため、被害者は正規の業務プロセスの一環であると錯覚しやすいのです。
リモート監視・管理(RMM)ツールの悪用
画面共有セッションが確立されると、攻撃者は被害者に対し、AnyDesk、Bomgar、SuperOps RMM、Zoho Assistといった正規のリモート監視・管理(RMM)ユーティリティをインストールするよう誘導します。これらのツールは、本来はIT部門が遠隔地のPCを管理するために使用するものですが、攻撃者にとっては被害者のシステムへの永続的なアクセス経路を確立する手段となります。
インストール指示は、privnote[.]comというサービスを通じて共有されることが確認されています。このサービスは、一度閲覧されると自動的に消滅するメモを送信できるため、攻撃の痕跡を消す目的で利用されていると考えられます。被害者は、指示に従ってこれらのツールをインストールすることで、知らず知らずのうちに攻撃者にシステムへの完全な制御を渡してしまうことになります。
驚くべき物理的侵入:FBIが警告する新たな脅威
UNC3753の攻撃手法の中でも特に注目すべきは、物理的な侵入を伴うケースが確認されている点です。これは、従来のサイバー攻撃の範疇を超え、物理的なセキュリティ対策をも突破しようとする新たな脅威の段階を示しています。
IT技術者になりすましたオフィス侵入
米連邦捜査局(FBI)は、UNC3753(SRG)が、IT技術者になりすまして企業のオフィスに直接侵入し、リムーバブルUSBメディアを使用してデータを盗み出すという、前例のない手口を用いていると警告しています。攻撃者は、被害者の目の前でコンピュータにUSBドライブを挿入し、機密情報を外部ドライブに直接抜き取ります。
この物理的侵入は、多要素認証(MFA)やウェブセキュリティゲートウェイ、高度なエンドポイント検出・対応(EDR)システムといった、あらゆる技術的なセキュリティ対策を無力化する可能性があります。なぜなら、攻撃者が「人間」として物理的にオフィスに存在し、被害者を直接操作するため、技術的な防御層を完全に迂回できてしまうからです。これは、サイバーセキュリティの脅威が、デジタル空間だけでなく現実世界にも拡大していることを明確に示しています。
データ窃盗から恐喝までのプロセス
UNC3753は、アクセス権を獲得した後、標的とする組織から特定の種類のデータを窃取することに注力します。その目的は、最終的に金銭を恐喝することにあります。
狙われる機密情報とデータ流出の手口
攻撃者が特に狙うのは、企業にとって極めて価値が高く、公開されると甚大な被害をもたらす可能性のある情報です。これには、企業秘密を含む法的合意書、顧客の個人識別情報(PII)、社会保障番号(SSN)、財務記録、税務申告書、監査関連文書、企業クライアントとの契約書などが含まれます。
アクセスを獲得した攻撃者は、直接システム内を検索してこれらのファイルを特定するか、あるいは被害者を欺いて自らファイルを特定させ、外部に持ち出させます。UNC3753は、被害者の個人のノートPCから企業の仮想デスクトップインフラ(VDI)にアクセスし、さらに企業のファイルシステム深部へと侵入することもあります。ローカルおよびクラウドのディレクトリを列挙し、マップされたネットワークドライブをクロールして、最も機密性の高いフォルダからデータを収集します。
窃取されたデータは、WinSCPやRcloneといったファイル転送ツール、または被害者のメールボックスから攻撃者が管理するメールアドレス宛に送信されることで流出します。これらのツールは、合法的な目的で広く使用されているため、ネットワーク監視の目をすり抜けやすいという特徴があります。
迅速な恐喝と脅迫
データ流出が完了すると、攻撃者はターゲット環境から退出後、通常30分以内に恐喝メールを送信します。このメールには、被害者が身代金交渉を開始するための3日間の期限が設けられています。さらに、交渉に応じない場合や無視した場合、窃取したすべての情報をデータ漏洩サイトで公開するだけでなく、ターゲット企業の従業員や外部のクライアントに直接電話やメールでデータ侵害の事実を通知すると脅迫します。このような脅迫は、企業の評判失墜や顧客からの信頼喪失を恐れる心理を巧みに利用したものです。
なぜ法律事務所が狙われるのか?
Googleの分析によると、法律サービスを提供する企業は、恐喝を目的とする攻撃者にとって特に価値の高い標的となります。その理由は、法律事務所が保有するデータの性質と、それに伴うリスクの高さにあります。
機密情報の集中と高いリスク
法律事務所は、クライアントの取引ファイル、合併・買収計画、企業秘密、規制報告書など、極めて機密性の高い情報を集中的に保管しています。これらの情報は、企業にとって競争上の優位性や法的義務に関わるものであり、漏洩した場合の影響は計り知れません。
攻撃者は、法律事務所が評判や規制上の露出に非常に敏感であることを認識しています。そのため、データ侵害の事実が公になることを避け、専門的地位を守るために、恐喝の要求を静かに解決しようとするインセンティブが非常に高いと見ています。この「静かに解決したい」という心理が、攻撃者にとって有利な交渉材料となるのです。
「人間」の脆弱性を突く攻撃
UNC3753のような脅威グループは、強固な技術的境界防御、ウェブセキュリティゲートウェイ、多要素認証(MFA)といったセキュリティ対策を、人間を標的としたソーシャルエンジニアリング、特に音声誘導型の手法を用いることで容易に回避できることを理解しています。どんなに優れた技術的防御があっても、組織内の人間が騙されてしまえば、その防御は意味をなさなくなります。この「人間」という最も弱いリンクを狙う戦略が、彼らの攻撃を成功させている主要因と言えるでしょう。
独自の視点:多層防御と従業員教育の重要性
UNC3753の攻撃キャンペーンは、現代のサイバー脅威が単なる技術的な脆弱性を突くだけでなく、人間心理の隙を狙うソーシャルエンジニアリング、さらには物理的な侵入といった多角的なアプローチへと進化していることを明確に示しています。これは、企業がこれまで以上に包括的なセキュリティ戦略を構築する必要があることを意味します。
技術的防御だけでは不十分な時代
従来のサイバーセキュリティ対策は、ファイアウォール、IDS/IPS、アンチウイルス、多要素認証といった技術的な防御層の強化に重点を置いてきました。しかし、UNC3753が示すように、攻撃者がITサポートを装って電話をかけ、被害者に自らリモートアクセスツールをインストールさせたり、物理的にオフィスに侵入してUSBでデータを抜き取ったりする手口に対しては、これらの技術的防御だけでは限界があります。人間が騙されてしまえば、最も堅牢なシステムも無力化されてしまうのです。
従業員が「最後の防衛線」となる
このような状況下では、従業員一人ひとりが組織の「最後の防衛線」としての役割を果たすことになります。不審なメールや電話に対する警戒心、正規のIT担当者とのやり取りであっても常に疑念を持つ姿勢、そしてリモートアクセスツールや画面共有セッションの開始には細心の注意を払うといった意識が不可欠です。定期的なセキュリティ意識向上トレーニングは、もはや義務ではなく、組織の存続に関わる最重要課題と言えるでしょう。
物理セキュリティとデジタルセキュリティの融合
物理的侵入を伴う攻撃は、デジタルセキュリティと物理セキュリティの境界が曖昧になっていることを浮き彫りにします。オフィスへの入退室管理の厳格化、不審者の監視、そして従業員が不審な行動(例えば、見慣れない人物がPCにUSBを挿しているなど)を目撃した場合の報告体制の確立が重要です。IT部門と物理セキュリティ部門が連携し、統合的な脅威インテリジェンスと対策を講じる必要があります。
インシデント対応計画の再評価
万が一、データ窃盗や恐喝の被害に遭った場合でも、迅速かつ効果的に対応できるインシデント対応計画が不可欠です。これには、データのバックアップと復旧戦略、法執行機関やセキュリティ専門家との連携体制、そして顧客や関係者への情報開示ポリシーなどが含まれます。特に、恐喝の脅威に直面した際には、冷静な判断と専門家のアドバイスが不可欠であり、安易な身代金支払いはさらなる被害を招く可能性があります。
まとめ
UNC3753による米国企業を標的としたデータ窃盗・恐喝キャンペーンは、サイバー脅威の進化と複雑化を象徴するものです。音声フィッシングやソーシャルエンジニアリング、さらには物理的侵入といった多岐にわたる手口を組み合わせることで、従来のセキュリティ対策の盲点を突き、企業から機密情報を窃取しています。
この脅威に対抗するためには、技術的な防御の強化はもちろんのこと、従業員のセキュリティ意識向上と継続的な教育が不可欠です。また、物理セキュリティとデジタルセキュリティを統合したアプローチ、そして有事の際に迅速に対応できるインシデント対応計画の策定と訓練が、組織のレジリエンスを高める鍵となります。UNC3753の事例は、サイバーセキュリティが単なるIT部門の課題ではなく、組織全体で取り組むべき経営課題であることを改めて浮き彫りにしています。
