ITサポートを騙るBlackFile：MFAをすり抜けてSalesforce・SharePointから機密データを盗む新手口

2026年2月以降、BlackFileと呼ばれる新興の金銭目的ハッキンググループが小売業・ホスピタリティ業を中心に急激に活動を拡大している。Palo Alto Networks の Unit 42 と RH-ISAC（小売・ホスピタリティ情報共有分析センター）の報告によると、このグループはITヘルプデスクのスタッフを装った電話——いわゆるビッシング（Vishing：Voice Phishing）——を起点として、多要素認証（MFA）すら突破する巧妙な攻撃チェーンを構築している。

同グループは CL-CRI-1116、UNC6671、Cordial Spider とも追跡されており、英語圏サイバー犯罪者の緩やかなネットワーク「The Com」との関連も指摘されている。

攻撃の全体像：電話1本から機密データ流出まで

攻撃のフローは非常に体系化されている。

ステップ1：VoIP番号偽装でのビッシング 攻撃者はVoIP番号や発信者番号表示（CNAM）を偽装し、社内ITサポートを名乗って従業員に電話をかける。「アカウントに問題が発生しているので確認が必要です」といった口実で、偽の企業ログインページに誘導する。

ステップ2：認証情報とワンタイムパスコードの同時詐取 フィッシングページはリアルタイムで認証情報とOTPを転送する仕組みになっており、攻撃者側でそのまま正規セッションを確立できる。MFAがあっても、OTPを電話口で「読み上げさせる」ことで突破してしまう。

ステップ3：攻撃者デバイスのMFA登録 奪ったセッションを使って、攻撃者は自分のデバイスをMFA信頼済みデバイスとして登録する。これ以降はOTP不要でログインが可能になる。

ステップ4：社内ディレクトリを使った権限昇格 SharePoint や社内ポータルから従業員ディレクトリをスクレイピングし、経営幹部アカウントへの接触・権限昇格を試みる。

ステップ5：Salesforce・SharePoint APIによる大規模データ窃取 標準的なAPIおよびSharePointのダウンロード機能を使って「confidential」「SSN」などのキーワードでファイルを検索し、CSVデータセットや機密レポートを攻撃者インフラへ転送する。正規のSSO認証済みセッションを装うため、単純なユーザーエージェントベースの検知を回避する。

ステップ6：ダークウェブ公開と身代金要求 窃取データをダークウェブのリークサイトに掲載した上で、侵害した従業員メールや使い捨てGmailアドレスから身代金を要求する。要求額は7桁（≒数百万ドル規模）に上る。

追加の圧力：スワッティング 経営幹部を含む従業員へのスワッティング（虚偽の緊急通報による強制捜査の呼び込み）も報告されており、精神的・組織的な圧力を最大化する戦術として使われている。

日本のIT現場への影響

日本の小売・ホスピタリティ企業も決して対岸の火事ではない。特に以下の点が懸念される。

• Salesforce・SharePointの広範な普及：日本企業でも両プラットフォームは標準的に導入されており、APIアクセス制御が甘い環境は格好の標的になりうる。
• ヘルプデスク体制の脆弱性：コールセンターや外部委託のITサポートが電話での本人確認を厳格に行っていないケースは多い。「IT担当から電話がかかってきた」という状況を疑わずに対応してしまう文化的背景は日本でも存在する。
• MFA導入≠完全防御の誤解：MFAを導入していれば安心、という思い込みが最も危険。ビッシングを組み合わせたMFAバイパスは既知の攻撃手法であり、技術的な対策だけでは不十分だ。

実務で取り組むべきこと：

• コール確認ポリシーの強化：ITサポートを名乗る電話には、折り返し確認（既知の社内番号に自分からかけ直す）を義務付ける。電話口でのOTP読み上げは絶対禁止をポリシー化する。
• MFA登録フローの審査強化：新しいデバイスのMFA登録には、管理者承認または帯域外確認（別チャネルでの本人確認）を必須にする。Conditional Access ポリシーで登録デバイスに準拠デバイス要件を課すことも有効。
• Salesforce・SharePoint のAPIアクセスログ監査：大量ダウンロードや「confidential」「SSN」等のキーワード検索をアラート対象にする。Microsoft Purview や Salesforce Shield のデータ損失防止（DLP）ポリシーを活用する。
• ソーシャルエンジニアリング訓練の実施：座学でなく、実際のビッシングをシミュレーションした訓練を定期実施する。フロントラインスタッフが「おかしい」と感じたときに即エスカレーションできる文化を作る。
• 特権アカウントのJust-In-Time化：常時アクセス権を持つ経営幹部アカウントは攻撃者にとって最大のターゲット。必要なときだけ権限を付与するJIT（ジャストインタイム）アクセスモデルへの移行を検討する。

筆者の見解

この攻撃を見て改めて感じるのは、「MFAを導入した」「ゼロトラストを進めている」と言いながら、電話1本で全部崩れてしまう運用がいかに多いか、ということだ。

BlackFile の手口は技術的に新しいものではない。ビッシングによるOTP詐取、デバイス登録でのMFAバイパス——どれも数年前から報告されている手法だ。それでも成功するのは、人間の側の手続きが追いついていないからに尽きる。

「禁止すれば守られる」という発想で対策を打ち続けても限界がある。従業員が「電話でOTPを教えてはいけない」と知識として知っていても、「本物っぽいITサポート」から丁寧に説明されたときに断れるかどうかは別の話だ。実際の状況をシミュレーションした訓練を繰り返し、安全な行動が反射的にできる環境を作ることこそが本質的な対策だと思う。

API経由の大規模データ窃取についても同様で、「Salesforce のAPIは便利だから使っている」状態で、アクセスログを誰も見ていないケースは珍しくない。Non-Human Identity（NHI）やサービスアカウントの管理と同じく、APIアクセスの可視化と異常検知が自動化の前提条件になる時代だ。

ビッシングという古典的な手法が今も高い成功率を誇る現実は、技術的なセキュリティ投資だけでなく、人と手続きのレイヤーを同時に強化しなければ防げないという当たり前の事実を、改めて突きつけている。

出典: この記事は New BlackFile extortion group linked to surge of vishing attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。