米国連邦捜査局(FBI)は5月27日(現地時間、日本時間5月28日)、Luna Mothと呼ばれるサイバー犯罪グループが過去2年間にわたって米国の法律事務所を標的とした社会工学攻撃について警告を発した。
Luna Mothは、Chatty Spider、Silent Ransom Group(SRG)、Storm-0252、UNC3753とも呼ばれ、2022年から活動している犯罪組織である。同グループは以前、ContiやRyukランサムウェアの展開を目的としたBazarCall(BazaCall)キャンペーンを実行していたが、2022年3月のContiシンジケート閉鎖後に独立し、Silent Ransom Groupとして新たな活動を開始した。
攻撃手法は、請求書や購読料金に関する偽装メールを送信し、受信者に24時間以内にカスタマーサポートに電話するよう促すコールバックフィッシングである1。電話をかけた被害者は、偽のIT担当者によってリモートアクセスプログラムのインストールを誘導され、攻撃者がシステムへの不正アクセスを獲得する。
2025年3月以降、Luna Mothは戦術を変更し、標的企業のIT部門職員を装って直接電話をかける手法を採用している1。攻撃者は被害者に対し、夜間作業が必要であると説明してリモートアクセスセッションへの参加を指示する。
同グループは、Zoho Assist、Syncro、AnyDesk、Splashtop、Ateraなどの正規のリモートアクセスツールを悪用することで、セキュリティソフトウェアによる検出を回避している1。データ窃取にはRcloneやWinSCPなどの正当なツールを使用し、管理者権限がないデバイスではWinSCP portableを利用する。
オランダのサイバーセキュリティ企業EclecticIQの調査によると、Luna Mothは2025年3月にGoDaddy経由で少なくとも37のドメインを登録し、標的組織のITヘルプデスクやサポートポータルを偽装している13。これらのドメインは「vorys-helpdesk[.]com」のように、標的企業名で始まるヘルプデスクテーマの命名パターンを使用している1。
Luna Mothは盗取したデータの公開を脅迫し、100万ドルから800万ドルの身代金を要求している35。同グループはランサムウェアを使用せず、データ窃取と恐喝に特化した活動を行っている。
【編集部解説】
Luna Mothの攻撃手法は、従来のサイバー攻撃とは根本的に異なる特徴を持っています。最も注目すべき点は、マルウェアやランサムウェアを一切使用せず、正規のリモートアクセスツールのみを悪用している点です。これにより、従来のセキュリティソフトウェアによる検知を巧妙に回避しています。
この攻撃の巧妙さは、人間の心理を突いた社会工学的手法にあります27。偽の請求書メールを受け取った被害者が、疑問に思って電話をかけるという「正しい行動」を逆手に取った設計になっています。さらに、2025年3月以降の新たな手法では、攻撃者が直接企業のIT部門を装って電話をかけるという、より積極的なアプローチに転換しています。
技術的な観点から見ると、Luna MothはZoho Assist、Syncro、AnyDesk、Splashtop、Ateraといった企業で広く使用されている正規のRMMツールを悪用しています。これらのツールは正当なデジタル署名を持ち、企業環境で日常的に使用されているため、セキュリティシステムが異常として検知することは極めて困難です。
データ窃取の手法も洗練されており、RcloneやWinSCPといった正規のファイル転送ツールを使用することで、ネットワーク監視システムを欺いています16。管理者権限がないデバイスでもWinSCP portableを使用してデータを窃取するなど、技術的な制約を巧みに回避する能力を示しています。
この攻撃グループの背景には、Contiランサムウェア集団の解散という重要な文脈があります。2022年3月のConti閉鎖後、BazarCallキャンペーンを手がけていた攻撃者たちがSilent Ransom Groupとして独立し、ランサムウェアによる暗号化から純粋なデータ窃取・恐喝モデルへと戦術を転換しました。
経済的な影響も深刻で、身代金要求額は100万ドルから800万ドルという高額に設定されています。これは被害企業の規模に応じて調整されており、組織的かつ計画的な犯罪活動であることを示しています。
法律事務所が主要な標的となっている理由は、機密性の高いクライアント情報を大量に保有しているためです。弁護士・依頼者間の秘匿特権に関わる情報が漏洩すれば、法的・倫理的な問題だけでなく、事務所の信頼失墜につながる可能性があります。
防御の観点では、従来のテクノロジー中心のセキュリティ対策だけでは限界があることが明らかになっています。人的要素が攻撃の成功を左右するため、従業員教育とセキュリティ意識の向上が最も重要な対策となります。
この事案は、サイバーセキュリティの新たな課題を浮き彫りにしています。正規ツールの悪用により、技術的な検知が困難になる中、組織は人間を標的とした攻撃への対応力強化が急務となっています。また、リモートワークの普及により、こうした攻撃の成功率がさらに高まる可能性も懸念されます。
【用語解説】
コールバックフィッシング(Callback Phishing):
偽装メールで被害者に電話をかけさせ、電話口で騙すフィッシング手法。TOAD(Telephone-Oriented Attack Delivery)とも呼ばれる。Luna Mothは当初ZohoやDuolingoの偽の購読料金メールを使用していた。
社会工学攻撃(Social Engineering):
技術的な脆弱性ではなく、人間の心理的な隙を突いて情報を盗み取る攻撃手法。信頼関係や権威への服従、緊急性などの心理を悪用する。
データ窃取・恐喝(Data Theft and Extortion):
システムを暗号化せず、機密データを盗み出して公開を脅迫し身代金を要求する攻撃手法。ランサムウェアと異なり、業務停止を伴わない。
RMM(Remote Monitoring and Management):
リモート監視・管理ツール。IT管理者が遠隔地からシステムを監視・操作するための正規ツール。Luna MothはSyncro、SuperOps、Zoho Assist、Atera、AnyDesk、Splashtopを悪用している。
BazarCall:
2021年に登場したコールバックフィッシングキャンペーン。ContiやRyukランサムウェアの初期侵入手段として使用された。Luna Mothの前身となる攻撃手法である。
Contiシンジケート:
2022年3月に閉鎖された大規模ランサムウェア組織。ウクライナ侵攻に関する内部分裂により解散し、構成員が複数のグループに分散した。
タイポスクワッティング(Typosquatting):
正規ドメイン名に類似した偽ドメインを登録し、誤入力やスペルミスを狙う攻撃手法。Luna Mothは「会社名-helpdesk.com」パターンを多用している。
【参考リンク】
Zoho Assist(外部)
クラウドベースのリモートデスクトップソフトウェア。企業向けリモートサポートとアクセス機能を提供する正規ツールだが、Luna Mothに悪用されている。
AnyDesk(外部)
無料のリモートアクセスユーティリティ。管理とカスタマーサービス用途で広く使用されているが、攻撃者にも悪用される正規ツール。
Splashtop(外部)
タブレットやスマートフォンから会社PCにアクセスできるリモートデスクトップサービス。高速画面転送技術と直感的インターフェースが特徴。
Atera(外部)
AIエージェント機能を内蔵したオールインワンIT管理プラットフォーム。RMM、ヘルプデスク、チケット管理、パッチ管理を統合提供。
【参考記事】
FBI – Silent Ransom Group Targeting Law Firms(公式警告文書) | FBI
Luna Moth callback phishing campaigns targeting US legal and financial sectors | EclecticIQ
Luna Moth Ransomware: The False Subscription Scam | Sygnia
【編集部後記】
Luna Mothのような巧妙な攻撃手法を知ると、私たちの日常業務におけるセキュリティ意識について改めて考えさせられますね。正規ツールが悪用される現実を踏まえると、技術的な対策だけでなく、人間の判断力がいかに重要かが浮き彫りになります。
皆さんの職場では、IT部門を名乗る突然の電話にどう対応していますか?また、リモートアクセスツールの利用ルールは明確に定められているでしょうか?こうした身近な疑問から、組織全体のセキュリティ体制を見直すきっかけが生まれるかもしれません。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
