気づいたときには手遅れかもしれない——BPO経由の侵入という盲点

Googleの脅威インテリジェンスグループ(GTIG)が2026年4月に公表した調査報告は、多くの企業が自覚すらしていないリスクを白日のもとにさらした。脅威アクター「UNC6783」は、企業の業務委託先(BPO)を踏み台として、本来の標的企業のZendeskサポートシステムに侵入し、大量の機密チケットデータを窃取・恐喝するという手口を繰り返している。GTIGの主任脅威アナリスト、オースティン・ラーセン氏によると、すでに数十の企業が被害を受けており、その被害範囲は複数業種に及ぶという。

この攻撃が厄介なのは、標的企業の社内ネットワークを直接狙うのではなく、「委託関係で正当なアクセス権を持つBPO」を経由する点だ。正規の業者に見えるパスを通ってくるため、従来の境界型セキュリティでは検知が極めて難しい。

攻撃の流れ——ソーシャルエンジニアリングからMFAバイパスまで

①BPOのサポート担当者を騙す

UNC6783はまず、標的企業のBPOプロバイダーに対してフィッシングや生チャット経由のソーシャルエンジニアリングを仕掛ける。攻撃者は会話の流れの中でサポート担当者を偽のOktaログインページへ誘導する。このページのドメインは <組織名>.zendesk-support<番号>.com というパターンで生成され、一見すると本物の業務ポータルに見える。

②クリップボード窃取でMFAを突破

使用されるフィッシングキットは単純なパスワード窃取にとどまらない。クリップボードの内容を盗み取ることで、担当者がMFAコードをコピー&ペーストした瞬間にそれを横取りする仕組みだ。これにより、多要素認証が設定されていても突破が可能になる。さらに攻撃者は自分のデバイスを組織に登録することで、持続的なアクセスを確立する。

③偽セキュリティ更新でRAT配布

一部のケースでは、偽のセキュリティアップデートを配布し、リモートアクセス型トロイの木馬(RAT)を感染させる手口も確認されている。一般従業員から感染させた後、その上司や管理職を次のフィッシング標的にするという「縦横断型」の手口は、Adobeを対象とした可能性のある事案(「Mr. Raccoon」を名乗る攻撃者が1300万件のサポートチケット窃取を主張)でも確認されている。

④恐喝——ProtonMailからの支払要求

データ窃取後は、ProtonMailアドレスを通じて被害企業に接触し、金銭を要求する。サポートチケットには個人情報・社内文書・場合によってはバグレポートまで含まれており、その情報価値は高い。

日本のIT現場への影響——「委託先のセキュリティ」は自分のセキュリティ

日本企業の多くは、コスト最適化の観点からIT系の問い合わせ対応・ヘルプデスク業務をBPOや海外拠点に委託している。この構造が今回の攻撃手法と完全に噛み合う。

特に注意すべき点を挙げる:

  • Zendeskを使っているだけでリスクがある——Zendesk自体に脆弱性があるわけではないが、そのドメインを模倣した偽ページへの誘導が横行している。委託先の担当者がどのURLを踏むか、企業は管理しきれていない
  • 「委託したから責任は向こう」は通用しない——個人情報が含まれるサポートチケットが漏洩した場合、規制上の責任は委託元企業に帰属する
  • MFAを導入しているからといって安心できない——クリップボード窃取型の攻撃には、TOTP(時刻ベースワンタイムパスワード)やSMS認証では不十分。FIDO2ベースのパスキーへの移行が現実的な対策になる

具体的な防衛策

GoogleのMandiantは以下の対策を推奨している。実務ですぐ動けるものから優先したい:

  • FIDO2セキュリティキーの導入(フィッシング耐性MFAへの移行)
  • ライブチャットチャネルの監視強化(ソーシャルエンジニアリング検知)
  • Zendeskパターンを模倣する疑似ドメインのDNS/プロキシブロック
  • MFAデバイス登録の定期棚卸し(不審なデバイスの早期検知)
  • BPO契約にセキュリティ要件を明記し、定期的に監査する

筆者の見解

この攻撃手法を見て真っ先に思うのは、「なぜゼロトラストがまだ言葉だけで終わっている企業がこんなにも多いのか」という問いだ。

ゼロトラストの本質は「誰も信じない、常に検証する」ではなく、「アクセスの文脈を常に評価し、必要な権限を必要なときだけ渡す」ことにある。今回の攻撃が機能するのは、BPOの担当者が常時広範なアクセス権を持っているからだ。Just-In-Time(JIT)アクセスが徹底されていれば、認証を奪われても攻撃者が持ち出せるデータは大幅に限定される。

日本の大手エンタープライズでよく見るのは、古い境界型セキュリティと中途半端なゼロトラスト対応が共存している状態だ。VPNは残り、Entra IDも入り、条件付きアクセスはなんとなく設定されている——でも設計の哲学が統一されていない。こういう状態が、今回のようなサプライチェーン型攻撃に対して特に無防備になる。

MFAを入れたから安全だと思っているうちは、攻撃者は常に一歩先を行く。FIDO2パスキーへの移行が「いつかやること」のリストに入ったまま何年も経過している組織は、今回の事例を契機に本気でロードマップを引き直してほしい。

サポートチケットというのは、企業の「生の悩み」が詰まっている。セキュリティ上の問題も、顧客情報も、未修正の脆弱性情報も含まれうる。そこを狙ってくる攻撃者の目線は合理的だ。私たちも同じくらい合理的に、本当に効く対策を選んでいく必要がある。

出典: この記事は Google: New UNC6783 hackers steal corporate Zendesk support tickets の内容をもとに、筆者の見解を加えて独自に執筆したものです。