2025年8月12日、ReliaQuestはShinyHuntersとScattered Spiderが連携し、Salesforce顧客を標的としたデータ恐喝攻撃を実施していると報告した。
両者はvishing(音声フィッシング)やOkta偽装フィッシング、VPNによるデータ流出秘匿など類似の戦術を用いている。ShinyHuntersは2020年から活動し、BreachForumsの運営に関与、2025年6月に第4期を開始したが同月9日頃に閉鎖した。フランス当局は6月、関係者4人を逮捕した。
8月8日にはShinyHunters、Scattered Spider、LAPSUS$を名乗るTelegramチャンネルが出現し、RaaS「ShinySp1d3r」開発を主張したが3日後に消滅した。700超のフィッシング関連ドメイン分析で、7月以降金融企業を狙う登録が12%増加し、テクノロジー企業向けは5%減少した。
From: 
Cybercrime Groups ShinyHunters, Scattered Spider Join Forces in Extortion Attacks on Businesses
【編集部解説】
今回のポイントは、従来「資格情報の窃取とデータベース流出」で知られたShinyHuntersが、Scattered Spiderの代名詞的手口を取り込み、SaaS基盤(Salesforce)を起点に恐喝へ接続する「戦術ポートフォリオ」を拡張したことです。属性の断定には慎重さが要りますが、戦術・インフラ・標的セクターの重なりが濃く、オペレーション面の連携または持続的な交流があると見るのが実務的です。
同時に、Googleが警鐘を鳴らしたUNC6040のvishing(ビッシング)→OAuth濫用→Salesforceデータ抽出→恐喝の一連の流れは、多数企業に波及可能な「SaaS時代の攻撃プリミティブ」を提示しました。攻撃者は正規UXと権限モデルの文脈に溶け込み、長命トークンや正規アプリのワークフローを悪用して可視性の死角を突きます。
この攻撃の難所は、マルウェアよりも「人間—業務—SaaS」の接点に潜む点です。voice phishing(音声フィッシング)でヘルプデスクを装い、SalesforceのConnected Appを承認させる、Okta偽装でSSO資格情報を収集する、Mullvad VPN等で流出経路を秘匿する、短命ドメインを高速回転させる——いずれも組織の運用現実に寄り添う設計です。検知は従来型のマルウェア前提モデルでは後手に回りやすいです。
影響範囲については、直近のドメイン観測から「金融サービス」へのシフトが示唆され、保険・銀行・決済のCRM/ケース管理が主戦場になる可能性があります。一方、テック企業向けの偽装は相対的に減少の傾向が示されましたが、標的選好は機会依存で流動的です。この変化は、流出データの再販・二次詐欺(高精度ターゲティング)・サプライチェーン横断の踏み台化に直結します。
規制・ガバナンス面では、SSO/MFA実装が万能でないことを前提に、OAuth権限・長命トークン・Connected Appの統制が監査の焦点になります。ログ保存は「アプリ行為とデータアクセス粒度」を押さえ、短命ドメインや住宅系プロキシ環境を前提にした「行動学的検知」への転換が実務的です。また、委託・共同利用のCRMデータ管理における「同意と目的外利用」「二次流通リスク」も再設計が要ります。
ポジティブな側面として、ReliaQuestや複数の脅威インテリジェンスがTTPの特定性を高め、インフラの指紋化と早期介入(短命ドメインの封じ込め、Okta偽装キットの検知)に実装知を提供し始めています。クラウド事業者とSaaSベンダーの協調による検知・通報・テイクダウンも、ドメイン回転速度に追随する形で成熟しつつあります。
一方のリスクは、脅威側の”クラウト化”です。Telegram上の「Scattered LAPSUS$ Hunters」は短命でしたが、RaaS志向(ShinySp1d3r)やブランディング増幅を狙う情報心理戦の色彩が濃く、初期侵入のB2B化(initial access broker)との役割分担が進む可能性があります。The Comという緩やかな上位集合体の下で、手口・インフラ・人材が「共有地化」するほど、個別グループの摘発が波及抑止に直結しにくくなります。
長期的には、「SaaSの業務同化度」が高い企業ほど、攻撃者にとってUX駆動の社会工学が効く構造が続きます。MFA疲労、ヘルプデスク模倣、正規アプリの再梱包という「人と業務」に寄り添う戦術は、防御側にも同じレイヤの介入(就業動線に沿うトレーニング、承認画面のUXハードニング、権限スコープの最小化、アプリ間連携の検査ゲート)を要求します。犯行主体の同定に過剰に拘泥するより、戦術連鎖を分断する「行動ベースの最小介入点」を設計することが、現実的な被害最小化に直結します。
最後に、事実関係への注記です。連携の断定は依然として「状況証拠の積み上げ」に留まる一方、対象セクターの重なり、BreachForums上の”Sp1d3rhunters”、ドメイン命名規則の一致、vishingとOkta偽装、Mullvadを介した流出——これらの符合は多源的に確認されています。誇張よりも、「戦術の可搬性と共有」を前提にSaaS統制を再設計することが、読者企業にとっての最短距離だと考えます。
【用語解説】
vishing(ビッシング)
voice phishing(音声フィッシング)の略で、電話や音声チャットを使ったソーシャルエンジニアリングの詐欺手口である。
social engineering(ソーシャルエンジニアリング)
人間の心理や業務手順を突く手口で、技術的脆弱性ではなく人の判断を悪用する攻撃である。
Okta偽装フィッシング
OktaのSSOログイン画面に似せた偽ページで認証情報を入力させる手口である。
VPN obfuscation(VPN難読化)
MullvadなどのVPN経由で流出経路を隠し、追跡や検知を困難にする手法である。
SSO(シングルサインオン)
1つの認証で複数サービスへアクセスできる仕組みで、偽装ログインページが狙われやすい。
ransomware-as-a-service(RaaS)
ランサムウェアの提供をサービス化し、アフィリエイトが攻撃を実行する犯罪ビジネスモデルである。
The Com(ザ・コム)
英語話者のサイバー犯罪者ネットワークの呼称で、SIMスワップや恐喝などの活動に関与するとされる。
SIM swapping(SIMスワッピング)
携帯キャリアで番号を攻撃者のSIMに移し替え、SMS認証などを乗っ取る手口である。
ドメインインフラの回転
短命のフィッシング用ドメインを多数登録・使い捨てして検知やブロックを回避する運用である。
extortion(恐喝)
盗んだデータの暴露や営業妨害を示唆し、身代金の支払いを迫る行為である。
【参考リンク】
ReliaQuest(公式)(外部)
脅威インテリジェンスと検知・対応を提供するセキュリティ企業で、本件の戦術分析レポートを公開している。
DataBreaches.net(特集)(外部)
ShinyHuntersの恐喝動向やGoogleへの要求言及など、当事者発言を含む取材記事を掲載している。
【参考記事】
ShinyHunters Targets Salesforce Amid Clues of Scattered Spider Collaboration(外部)
ShinyHuntersのSalesforce標的化と、Scattered Spiderとの戦術・インフラ重複を分析する。700超の2025年登録ドメインや7月以降の金融向け増加(+12%)とテック向け減少(-5%)を示し、連携可能性と今後の金融・テクノロジーサービスへの拡大を指摘する。
Researchers firm up ShinyHunters, Scattered Spider link(外部)
Salesforce Data Loaderなどの正規アプリ悪用、Okta偽装、Mullvad VPNの利用など、Scattered Spiderの”標章的”手口への移行を具体例で説明し、The Comとの関連を含めて連携説を補強する。
Financial Services Could Be Next in Line for ShinyHunters(外部)ドメイン分析に基づき、7月以降の金融企業向けドメイン登録が12%増加、テック向けが5%減少した点を強調し、銀行・保険・金融サービスへのリスク上昇を解説する。
Three notorious cybercrime gangs appear to be collaborating(外部)
Telegramチャンネル上の誇示的投稿、RaaS「ShinySp1d3r」主張、短期間でのチャンネル消失を報じ、ブランド増幅と混乱を狙う新段階の恐喝手法として位置づける。
ShinyHunters sent Google an extortion demand; Shiny comments on current activities(外部)
ShinyHuntersがGoogleに恐喝要求を送付したとする当事者の発言を記録し、時期的経緯や今後の攻撃示唆を含むチャット内容を紹介する。
Are Scattered Spider and ShinyHunters one group or two? And who did France arrest?(外部)
UNC6040/UNC6240とUNC3944の区別・重複、BreachForumsの@Sp1d3rhunters、支払い事例の示唆など、帰属の混線と連携の可能性を整理する調査記事である。
【編集部後記】
SalesforceやOktaといった、私たちが日常的に使うSaaSプラットフォームを狙った攻撃が、ここまで巧妙化している現実に驚かれたのではないでしょうか。ShinyHuntersとScattered Spiderという「別々の脅威」が戦術を共有し、連携の可能性まで示している今回の事例は、サイバーセキュリティの地殻変動を象徴しています。
特に注目すべきは、従来のマルウェア中心の攻撃から「人と業務フローの隙間」を突く手法への進化です。電話で巧妙にヘルプデスクを装うvishing、見慣れたOktaログイン画面の偽装、正規アプリを装った承認要求——これらはすべて「普通の業務」に溶け込む設計になっています。技術的な防御だけでは限界があることを、改めて痛感させられます。
金融業界への標的シフト(+12%)も看過できません。顧客の資産や個人情報を扱う金融機関が狙われれば、その影響は個人から企業、そして社会全体へと波及します。一方で、ReliaQuestのような脅威インテリジェンス企業が戦術パターンを可視化し、防御側の対応力向上に貢献していることは希望的な要素です。
私たち一人ひとりができることは、「疑う習慣」を身につけることかもしれません。突然の電話、見慣れない承認画面、普段と違うログイン要求——これらに遭遇したとき、立ち止まって考える時間を作ることが、組織全体を守る第一歩になります。テクノロジーは人を進化させますが、その前に人自身が進化する必要があるのかもしれません。
