詐欺の手口

BlackFileって何?Googleが警告するMFA突破型恐喝の正体と全手口

BlackFileって何?Googleが警告するMFA突破型恐喝の正体と全手口 詐欺の手口
スポンサーリンク

ニュースで「BlackFile」という名前を目にして、何のことか戸惑っていませんか。Googleが警告を出したBlackFileは、電話で従業員をだまし、偽サイトへ誘導してMFAをすり抜ける新型の恐喝グループです。マルウェアを使わない攻撃なので、従来のウイルス対策では止まりません。

この記事では、BlackFileが何者で、なぜMFAが破られるのか、自社や自分が標的になり得るのかを順に整理します。一次情報をもとに、専門用語にも注釈を入れながら、初心者でも全体像をつかめるようにまとめました。

  1. BlackFile(ブラックファイル)とは何者か
    1. サイバー攻撃グループとしてのBlackFileの定義
    2. 別名「UNC6671」「Cordial Spider」「CL-CRI-1116」との対応関係
    3. 活動開始時期と現在の活動状況
  2. Googleが警告したBlackFileの手口の概要とは
    1. Google Threat Intelligence Group(GTIG)が発した警告の中身
    2. 「マルウェアを一切使わない」攻撃という異例の特徴
    3. 標的にされている業種と地域
  3. なぜBlackFileは従業員を「偽サイト」へ誘導するのか
    1. 攻撃の出発点は電話(ヴィッシング)である理由
    2. IT ヘルプデスクを装う心理的トリックの仕組み
    3. 偽サイトがSSO(シングルサインオン)画面を模倣する狙い
  4. BlackFileがMFAを突破できるのはなぜか
    1. 通常のMFAが防げる攻撃と防げない攻撃の違い
    2. AiTM(Adversary-in-the-Middle)でワンタイムパスワードを奪う流れ
    3. 攻撃者デバイスをMicrosoft Entra IDに登録する「持続化」の仕組み
  5. BlackFileの攻撃ライフサイクルを段階で理解する
    1. 第一段階:標的従業員への音声フィッシングコール
    2. 第二段階:偽SSOページでの認証情報・TOTP奪取
    3. 第三段階:SalesforceやSharePointからのデータ持ち出し
    4. 第四段階:経営層への脅迫メールと身代金要求
  6. BlackFileが盗むデータと脅迫の手口とは
    1. 「confidential」「SSN」など狙われるキーワード
    2. データリークサイト(DLS)での晒し脅迫
    3. 連絡手段の変遷(Tox から Session への移行)
    4. 交渉が決裂した場合のスワッティング等のエスカレーション
  7. BlackFileと類似グループの違いは何か
    1. ShinyHunters(UNC6240)との関係と独立性
    2. 「The Com」と呼ばれる英語圏犯罪ネットワークとの関連
    3. Snarky Spider など他の SaaS 恐喝グループとの比較
  8. なぜ小売・ホスピタリティ業界が狙われるのか
    1. コールセンターとヘルプデスクの構造的弱点
    2. Salesforce/SharePoint に集中する個人情報の価値
    3. 分散勤務と高い従業員入れ替わりが招くスキの理由
  9. 企業がBlackFile対策で今すぐ見直すべき項目とは
    1. ヘルプデスクの電話対応ポリシーの強化
    2. MFAデバイス登録の監視と通知ルール
    3. フィッシング耐性MFA(パスキー・FIDO2)への移行検討
    4. 従業員向けヴィッシング模擬訓練の実施
  10. 個人として警戒すべきBlackFile関連の連絡パターン
    1. 「IT部門を名乗る突然の電話」が来たときの対応
    2. URLとログイン画面の見分け方の基本
    3. 不審な連絡を受けた後に組織へ報告すべき内容
  11. 日本企業にとってBlackFileはどの程度の脅威か
    1. 現時点で公表されている被害地域と業種
    2. 日本語環境でも起こり得るシナリオ
    3. グローバルSaaS(Microsoft 365、Okta、Salesforce)利用企業の留意点
  12. BlackFileに関する最新動向(2026年5月時点)
    1. データリークサイト停止と再出現の経緯
    2. 「BlackFile is shutting down」の宣言が意味するもの
    3. 名称変更や別グループへの分派の可能性
  13. BlackFileに関するよくある質問(FAQ)
    1. Q1.BlackFileは個人ユーザーも標的にしますか?
    2. Q2.スマホのSMS認証だけでも防げないのですか?
    3. Q3.BlackFileから脅迫メールが届いた場合の最初の行動は?
    4. Q4.中小企業でも狙われる可能性はありますか?
    5. Q5.パスワードを変更するだけで安全になりますか?
  14. まとめ
    1. 参考文献

BlackFile(ブラックファイル)とは何者か

BlackFileは、2026年に入って活動が表面化したサイバー犯罪グループです。お金目的の恐喝(エクストーション)を行います。マルウェアを一切使わず、人をだますことだけで企業の中枢に入り込みます。

ここではまず、BlackFileという名前が何を指しているのか、別名との関係も含めて整理します。

サイバー攻撃グループとしてのBlackFileの定義

BlackFileは、企業の従業員に電話をかけて偽のサポート担当を装い、ログイン情報を盗み出すグループです。盗んだ情報でクラウドサービスに侵入し、社内データを持ち出します。

そのうえで、データを公開すると脅して身代金を要求します。要求額は数百万ドル規模になることもあり、被害企業は世界中に広がっています。

特徴的なのは「ファイルを暗号化しない」点です。従来のランサムウェアのように業務を止めるのではなく、データを盗んで晒すという一点に攻撃を絞っています。

別名「UNC6671」「Cordial Spider」「CL-CRI-1116」との対応関係

BlackFileは、調査会社によって異なる呼び方をされています。同じグループでも追跡名が違うため、混乱しやすいところです。整理すると次のようになります。

呼称 命名した組織
BlackFile グループ自身が名乗るブランド名
UNC6671 Google Threat Intelligence Group
Cordial Spider CrowdStrike
CL-CRI-1116 Palo Alto Networks Unit 42

どの名前で報じられていても、指している実体は同じです。記事や報告書を読み比べるときは、この対応表が役立ちます。

活動開始時期と現在の活動状況

BlackFileの活動が観測され始めたのは2026年1月ごろです。2月以降に小売・ホスピタリティ業界への攻撃が急増し、4月に Palo Alto Networks Unit 42 と RH-ISAC が共同で警告を発しました。

5月にはGoogleも詳細な調査結果を公開しています。データリークサイト(DLS)は4月末に一度停止し、5月11日に「BlackFileはこの名前では終了する」という声明と共に短時間再出現したあと、また閉じています。名前を変えて活動を続ける可能性も指摘されており、状況は流動的です。

Googleが警告したBlackFileの手口の概要とは

GoogleはなぜBlackFileに警告を出したのでしょうか。それは、この攻撃が「企業のクラウド全体を一気に乗っ取る」設計だからです。ここでは警告の中身と攻撃の特徴を見ていきます。

Google Threat Intelligence Group(GTIG)が発した警告の中身

GoogleのGTIGは、BlackFileがMicrosoft 365とOktaを主な標的にしていると報告しています。AiTM(Adversary-in-the-Middle)と呼ばれる中間者攻撃の手法で、MFAを通り抜けています。

侵入後はPythonやPowerShellのスクリプトで、クラウド上のデータを自動的に持ち出します。手作業ではなく、プログラムで効率的に盗む点が脅威です。

「マルウェアを一切使わない」攻撃という異例の特徴

普通のサイバー攻撃は、ウイルスや不正プログラムを送り込んで足場を作ります。BlackFileはそれをしません。盗んだ正規アカウントで、堂々と正面玄関から入ってきます。

これは「Living Off the Land(環境寄生型)」と呼ばれる手法です。攻撃者は標準のAPIや管理機能をそのまま使うため、ウイルス対策ソフトでは検知されません。これがBlackFileを厄介にしている根本理由です。

標的にされている業種と地域

これまでに確認されている主な被害業種は次の通りです。

  • 小売(リテール)
  • ホテル・ホスピタリティ
  • SaaSを広く使う大企業

英語圏の組織が中心ですが、グローバルにMicrosoft 365やOktaを使う企業であれば、地域を問わず狙われる可能性があります。日本企業もこのリスクから外れているわけではありません。

なぜBlackFileは従業員を「偽サイト」へ誘導するのか

BlackFileの攻撃は、メールではなく電話から始まります。なぜわざわざ電話を使うのか。ここを理解すると、対策の方向性も見えてきます。

攻撃の出発点は電話(ヴィッシング)である理由

ヴィッシング(vishing)とは、音声通話を使ったフィッシングのことです。voice と phishing を組み合わせた言葉で、近年急増している手口です。

メールフィッシングは、企業のスパムフィルタやリンクスキャンで止められやすくなりました。そこで攻撃者は、ガードの薄い「電話」へ舞台を移しました。電話は受信箱を経由しないので、メール用の防御策がそもそも働きません。

IT ヘルプデスクを装う心理的トリックの仕組み

攻撃者はVoIPで番号を偽装し、社内IT部門の担当者を名乗ります。「アカウントに異常が出ているのですぐ確認が必要です」と緊急性をあおります。

人は、権威ある相手から緊急で頼まれると反射的に従いやすくなります。「上司に確認します」と言わせない時間圧こそが、この攻撃の核心です。従業員は親切に対応しているつもりで、認証情報を渡してしまいます。

偽サイトがSSO(シングルサインオン)画面を模倣する狙い

攻撃者は、電話の最中に偽のログインページのURLを伝えます。そのページは、自社の本物のSSO画面とほぼ同じ見た目です。会社のロゴやデザインまで作り込まれています。

従業員がIDとパスワードを入力すると、その情報はリアルタイムで攻撃者に流れます。ワンタイムパスワードも同じ画面で求められ、入力した瞬間に攻撃者へ届きます。だます場面を「ログイン画面」に限定することで、不審に思われる隙を消しています。

BlackFileがMFAを突破できるのはなぜか

MFAを設定していれば安心、と思っている人ほど驚く部分です。BlackFileはMFAを「破る」のではなく「すり抜ける」発想で攻めてきます。

通常のMFAが防げる攻撃と防げない攻撃の違い

MFA(多要素認証)はパスワード以外に追加の確認を求める仕組みです。SMSコード、認証アプリのワンタイムパスワード、プッシュ通知などが代表的です。

これらは「攻撃者が後からパスワードだけを使って入ってくる」状況には強い仕組みです。しかし「リアルタイムで本人をだましてコードを言わせる」攻撃には弱いという弱点があります。BlackFileはまさにそこを突いてきます。

AiTM(Adversary-in-the-Middle)でワンタイムパスワードを奪う流れ

AiTMは、攻撃者が本物のサイトと利用者の間に「中継サーバー」を挟む手法です。流れを箇条書きにすると次のようになります。

  • 利用者は偽サイトにIDとパスワードを入れる
  • 偽サイトは裏で本物サイトにそれを転送する
  • 本物サイトはMFAコードを要求する
  • 利用者は偽サイトに表示された画面でMFAコードを入力する
  • 攻撃者はそのコードを即座に本物サイトへ渡してログインを完了する

利用者の手元では「いつものログイン」と何も変わって見えません。気づいた時にはセッションごと乗っ取られています。

攻撃者デバイスをMicrosoft Entra IDに登録する「持続化」の仕組み

ログインに成功した攻撃者は、すぐに自分のデバイスをMicrosoft Entra IDに登録します。Entra IDとはマイクロソフトのID管理サービスのことです。

一度デバイスが登録されると、そのデバイスは「信頼された端末」として扱われます。以降は本人にMFAコードを聞かなくても、攻撃者のデバイスから直接ログインできてしまうわけです。さらに登録通知メールを自動削除するルールを仕掛け、被害者に気づかせない工夫もしています。

BlackFileの攻撃ライフサイクルを段階で理解する

ここまでの内容を時系列で並べると、攻撃の全体像が立体的に見えてきます。BlackFileの動きを4つの段階に分けて整理します。

第一段階:標的従業員への音声フィッシングコール

最初の一歩は電話です。攻撃者は偽装したVoIP番号からかけてきます。発信者名(Caller ID)も社名やIT部門に偽装されています。

電話の内容は「アカウントに不正アクセスの可能性があります」「すぐに本人確認が必要です」といった筋書きです。従業員を不安にさせ、考える余裕を奪う台本になっています。

第二段階:偽SSOページでの認証情報・TOTP奪取

電話口で、攻撃者は偽のURLを口頭で伝えます。従業員はそこへアクセスし、社員番号やパスワード、ワンタイムパスワード(TOTP)を入力します。

入力された情報はその場で攻撃者に渡り、攻撃者は同時に本物のSSOへログインを試みます。ここまでがおおよそ数分以内に完了します。

第三段階:SalesforceやSharePointからのデータ持ち出し

侵入後、攻撃者はSalesforceやSharePoint、OneDriveなどのSaaSを次々に巡回します。「confidential」「SSN」といった機密性の高いキーワードでファイルを検索します。

見つかったファイルは標準のAPI機能でダウンロードされます。MEGAやLimeWireといった一般的なファイル共有サービスにいったん預けてから、リークサイトへ移すケースが確認されています。

第四段階:経営層への脅迫メールと身代金要求

データを抜き終わると、被害企業に脅迫メールが届きます。最初は無記名のメールで、Toxという匿名チャットでの連絡を要求します。

無視や抵抗を受けると、攻撃者はスパム攻撃で連絡を再開させたり、経営層へ直接電話したりします。交渉が決裂した場合、警察を悪用して被害者宅へ突入させる「スワッティング」まで報告されています。

BlackFileが盗むデータと脅迫の手口とは

BlackFileの目的は、データを材料にお金を取ることです。盗むものと脅し方を知っておくと、防御の優先順位がはっきりします。

「confidential」「SSN」など狙われるキーワード

攻撃者は侵入後、ファイル名や中身を機械的に検索します。狙われやすい単語の例は次の通りです。

  • confidential(機密)
  • SSN(米国の社会保障番号)
  • 社員名簿
  • 財務報告
  • 顧客リスト

個人情報と財務情報の組み合わせは、最も足元を見られやすい材料です。

データリークサイト(DLS)での晒し脅迫

BlackFileはダークウェブ上に専用のリークサイトを運営してきました。被害企業のロゴと盗んだファイルの一部を掲示し、「期限までに支払わなければ全部公開する」と迫ります。

この晒し圧力が、企業に支払いを促すレバーです。「業務は止まっていないのに、信用は崩壊しかけている」という状況に、経営層は判断を迫られます。

連絡手段の変遷(Tox から Session への移行)

初期のBlackFileは、暗号化メッセンジャー「Tox」での連絡を要求していました。2026年2月以降は、より匿名性が高いとされる「Session」というメッセンジャーへ移行しています。

被害企業に対しては、Session IDとクライアントのダウンロード手順まで親切に案内されます。追跡を困難にしつつ、交渉だけは確実に行えるよう設計されているわけです。

交渉が決裂した場合のスワッティング等のエスカレーション

返事がない、交渉が進まないと判断された場合、攻撃者は手段を選びません。経営者個人へ電話やSMSが殺到するケースもあります。

スワッティングとは、虚偽の通報で武装警察を相手の自宅へ送り込ませる嫌がらせです。身の安全に関わる脅迫まで使われている点が、この攻撃の異常さを物語ります。

BlackFileと類似グループの違いは何か

BlackFileの周辺には、似た手口を使う複数のグループがいます。混同しないために、関係を整理しておきます。

ShinyHunters(UNC6240)との関係と独立性

ShinyHunters(UNC6240)は、以前から知られる有名な恐喝グループです。BlackFileは脅迫文の中で「ShinyHuntersだ」と名乗ったこともあります。

ただしGoogleの調査では、両者は別の組織と判断されています。通信チャンネル、ドメイン登録のパターン、専用リークサイトの有無などに違いがあるからです。BlackFileは知名度を借りるため、あえて他人の看板を使った可能性があります。

「The Com」と呼ばれる英語圏犯罪ネットワークとの関連

Palo Alto Networks Unit 42は、BlackFileを「The Com」という英語圏の犯罪ネットワークと中程度の確信度で結びつけています。The Comは、若年層を勧誘して恐喝や暴力行為に関与させる緩い集合体です。

つまりBlackFileは、単独のチームではなく、より広い犯罪エコシステムの一部とみる方が実態に近いと考えられます。ブランド名が変わっても、人と手口は残るタイプの脅威です。

Snarky Spider など他の SaaS 恐喝グループとの比較

CrowdStrikeは、BlackFile(Cordial Spider)と並んでSnarky Spider(UNC6661)という別グループを警告しています。両者ともSaaS環境での高速データ窃取を得意とします。

観点 BlackFile Snarky Spider
主な標的 小売・ホスピタリティ 業界横断
主な入り口 ヴィッシング ヴィッシング+AiTM
連絡手段 Tox→Session 独自の通信路
関連ネットワーク The Com に関連 The Com に関連

手口の方向性は重なっており、どちらか一方だけ対策しても不十分です。

なぜ小売・ホスピタリティ業界が狙われるのか

BlackFileが業種を絞っているのには理由があります。攻撃者にとっての「美味しさ」を逆から見ると、自社のリスクも測れます。

コールセンターとヘルプデスクの構造的弱点

小売やホスピタリティの現場は、電話のやり取りが日常です。問い合わせ件数も多く、ヘルプデスクは「早く対応すること」を求められがちです。

このスピード重視の文化が、ヴィッシングと相性が良すぎます。確認に時間をかけにくい職場ほど、攻撃者の言いなりになりやすいという構図です。

Salesforce/SharePoint に集中する個人情報の価値

これらの業界はSalesforceで顧客管理、SharePointで社内文書を扱うケースが目立ちます。顧客の氏名、連絡先、購買履歴、従業員情報が1か所に集まっています。

攻撃者にとっては、ひとつのアカウントを乗っ取れば大量の個人情報にアクセスできる「効率の良い金庫」です。侵入から盗み出しまでが短時間で完了する設計になっています。

分散勤務と高い従業員入れ替わりが招くスキの理由

店舗やホテルは全国に分散しており、新人の入れ替わりも頻繁です。本社のIT部門と現場の顔が見えないことも珍しくありません。

「初めて電話に出るIT部門の人」と話す機会が多いほど、偽の担当者を見抜く難易度は上がります。人の流動性そのものが脆弱性に変わっているわけです。

企業がBlackFile対策で今すぐ見直すべき項目とは

ここからは具体的な防御策に入ります。今日から検討できる現実的な打ち手をまとめます。

ヘルプデスクの電話対応ポリシーの強化

電話越しに認証情報やワンタイムパスワードを伝えるルートを、組織として塞ぎます。具体的には次のようなルールが有効です。

  • IT担当者が電話で社員のパスワードを聞くことは「絶対にない」と明文化する
  • 電話でログインページのURLを案内しない運用に切り替える
  • IT部門からの電話には、社員側からの折り返しで応対する

「折り返し電話」を文化として根付かせることが、最も費用対効果の高い対策です。

MFAデバイス登録の監視と通知ルール

新しいデバイスがEntra IDなどに登録された瞬間に、本人と管理者の双方へ通知が届く設定にしておきます。攻撃者は登録後、通知メールを自動削除するルールを仕込むため、メール以外の経路でも知らせる仕組みが安全です。

具体的には、SIEM(セキュリティ監視基盤)でデバイス登録イベントを必ず検知し、即時アラートを上げる構成が望まれます。「登録された後すぐ気づける」体制が、被害拡大を防ぐ最後の砦になります。

フィッシング耐性MFA(パスキー・FIDO2)への移行検討

SMS認証や認証アプリのワンタイムパスワードは、ヴィッシングと相性が悪い仕組みです。代わりに、フィッシング耐性のあるMFAが推奨されています。

  • パスキー(Passkey)
  • FIDO2準拠のセキュリティキー
  • プラットフォーム生体認証

これらは、認証情報がアクセス先のドメインに紐づくため、偽サイトでは技術的に成立しません。コードを読み上げる、ボタンを承認する、といった人為的なミスの余地そのものが消えます。

従業員向けヴィッシング模擬訓練の実施

メールフィッシングの訓練を行う企業は増えました。一方、電話を使った訓練を実施している組織はまだ少数です。

訓練の例は次の通りです。

  • IT部門を装った模擬電話をかけ、対応を記録する
  • 個人を責めず、組織の対応プロセスを改善する材料にする
  • 結果を経営層へ定期報告する

「電話で動揺しない練習」を一度経験するだけでも、本番での対応力が大きく変わります。

個人として警戒すべきBlackFile関連の連絡パターン

組織だけでなく、従業員一人ひとりの判断も重要です。普段の業務の中で気をつけたい場面を整理します。

「IT部門を名乗る突然の電話」が来たときの対応

まず、その場で行動しないことが基本です。電話の相手が本物のIT担当者であれば、急かす理由がありません。

確認の手順は次のとおりです。

  • 一度電話を切る
  • 社内ポータルや名簿に載っているIT部門の番号にこちらから折り返す
  • 同じ件で連絡があったか確認する

「切って、かけ直す」だけで、ヴィッシングの大半は失敗します。

URLとログイン画面の見分け方の基本

電話やメールで案内されたURLは、必ず一度落ち着いて見ます。チェックポイントは次の通りです。

  • ドメイン名のスペルが微妙に違わないか
  • 普段のSSOと違うサブドメインではないか
  • ブラウザのブックマークではなく、口頭で伝えられたURLではないか

「URLは自分で開く、人から渡されたものは踏まない」を原則にすると安全です。

不審な連絡を受けた後に組織へ報告すべき内容

仮にうっかり情報を入力してしまっても、責められることを恐れて隠さないことが何より重要です。報告は早ければ早いほど被害を抑えられます。

報告する内容の例:

  • 電話の発信時刻と発信者番号
  • 案内されたURL
  • 入力した情報の種類
  • 入力後にログイン画面で起きたこと

「気づいた瞬間に伝えること」自体が、組織を守る貢献になります。

日本企業にとってBlackFileはどの程度の脅威か

日本語での被害報告はまだ少ない状況です。だからといって油断できない理由を整理します。

現時点で公表されている被害地域と業種

公開情報の中心は、米国を含む英語圏の小売・ホスピタリティ企業です。日本企業が公にBlackFileの被害を発表した例は、現時点では確認されていません。

ただし、Mandiant(Googleグループ)は同種のヴィッシング被害に複数件対応中と述べており、水面下では被害が広がっている可能性が高いと読み取れます。

日本語環境でも起こり得るシナリオ

英語圏で完成された手口は、翻訳と現地化を経て他言語へ展開されるのが定石です。日本語のIT部門を装う電話、日本企業のSSOを精密に模した偽サイトが現れる可能性は十分にあります。

特に、外資系SaaSを社内インフラに採用している企業は、攻撃者にとって馴染みのある環境です。英語版の対策ガイドラインを「日本でも今すぐ」適用する価値があります。

グローバルSaaS(Microsoft 365、Okta、Salesforce)利用企業の留意点

これらのサービスは、世界中で同じ仕組みで動いています。日本拠点だからといって、攻撃の難易度が上がるわけではありません。

確認しておきたいポイントは次の通りです。

  • 海外IPやTorからのログイン試行を検知できる設定か
  • デバイス登録の通知が日本の管理者にも届くか
  • 機密ファイルへのAPIアクセス監視ができているか

SaaSの初期設定のまま運用している組織ほど、対応の伸びしろが大きいといえます。

BlackFileに関する最新動向(2026年5月時点)

BlackFileの活動は、流動的に動き続けています。直近の動きを記録しておきます。

データリークサイト停止と再出現の経緯

BlackFileのDLS(リークサイト)は、2026年4月末にいったん停止しました。背景は公表されていません。

5月11日に短時間だけ再出現し、終了をうかがわせるメッセージを掲示したあと、再び閉鎖されました。「ブランドの幕引き」と見える動きは過去にも他グループで例があり、額面通りに受け取るのは早計です。

「BlackFile is shutting down」の宣言が意味するもの

リークサイトに掲示された「BlackFileはこの名前では終了する」という宣言は、複数の解釈が可能です。

考えられるシナリオは次の通り。

  • 法執行機関の圧力を受けて活動を一時停止した
  • ブランドを刷新して別名で再開する準備をしている
  • 一部メンバーが分派して活動を続ける

いずれにせよ、人と手口が消えたわけではない点は押さえておくべきです。

名称変更や別グループへの分派の可能性

過去のサイバー犯罪グループも、注目を集めすぎると名前を変えて再出発する傾向があります。BlackFileが今後別名で現れた場合、手口は似たままになる公算が高いです。

監視すべきは「ブランド名」ではなく「ヴィッシング+AiTM+デバイス登録」というパターンそのものです。名前を追いかけるより、手口を覚えておくことが防御に効きます。

BlackFileに関するよくある質問(FAQ)

最後に、検索で多く寄せられる疑問への簡潔な回答をまとめます。

Q1.BlackFileは個人ユーザーも標的にしますか?

主な標的は企業や組織ですが、個人が被害の入り口になります。狙われるのは、企業の従業員としてのアカウントです。

私用アカウントが直接の対象になる例はまれです。ただし、勤務先のメールやSSOアカウントを使っている時間帯は、誰もが攻撃面の一部といえます。

Q2.スマホのSMS認証だけでも防げないのですか?

防げません。SMS認証はAiTM攻撃に弱い仕組みです。受け取ったコードを偽サイトに入力した瞬間、攻撃者へ流れます。

より安全なのは、パスキーやFIDO2セキュリティキーです。「コードを読む・入力する」という工程が存在しないMFAへ移行することが根本的な対策になります。

Q3.BlackFileから脅迫メールが届いた場合の最初の行動は?

返信せず、社内のセキュリティ責任者に即時報告します。慌てて単独で連絡を取ると、状況が悪化することがあります。

警察や所管の機関、契約しているインシデント対応会社にも早めに連絡を入れます。「一人で判断しない」が最初の鉄則です。

Q4.中小企業でも狙われる可能性はありますか?

可能性はあります。BlackFile自体は大規模組織を狙う傾向がありますが、模倣する他グループは中小企業まで対象を広げています。

SaaSを使い、電話対応のあるヘルプデスクを持つ組織なら、規模を問わずリスクがあります。「うちは小さいから」は安心材料になりません。

Q5.パスワードを変更するだけで安全になりますか?

不十分です。攻撃者は侵入後、自分のデバイスをEntra IDなどに登録しています。パスワードを変えても、登録済みデバイスからは入れる場合があります。

侵害が疑われたら、パスワード変更に加え、不正なデバイス登録の削除、セッションの強制無効化、ログの精査までを一気通貫で行います。「パスワードリセットだけで終わらせない」のが正しい復旧手順です。

まとめ

BlackFileは、ウイルスやマルウェアに頼らず、電話と人の心の隙だけで企業を恐喝するグループです。MFAが破られる根本理由は、コードを「本人に言わせる」攻撃が増えたことにあります。守るべきはパスワードではなく、認証プロセス全体の設計です。

組織として動くなら、ヘルプデスクの電話運用、デバイス登録の監視、フィッシング耐性MFAの採用が3本柱になります。個人として動くなら、電話を切ってかけ直す習慣を身につけることが効きます。BlackFileの名前が消えても、ヴィッシングの圧力は続きます。サプライチェーンや取引先のセキュリティ姿勢にも目を向け、社外との接点を含めて見直しを進めるのが現実的な次の一手です。

参考文献

  • 「Welcome to BlackFile: Inside a Vishing Extortion Operation」- Google Cloud Blog
  • 「Extortion in the Enterprise: Defending Against BlackFile Attacks」- RH-ISAC
  • 「New BlackFile extortion group linked to surge of vishing attacks」- BleepingComputer
  • 「BlackFile Group Targets Retail and Hospitality with Vishing Attacks」- Infosecurity Magazine
  • 「BlackFile Ransomware Vishing: Retail Extortion TTPs & IOCs」- Decryption Digest
  • 「Cybercriminal groups exploit Vishing and SSO in rapid SaaS extortion attacks」- Fyself News
  • 「フィッシング攻撃の種類とは?主要な6つの手口と特徴を解説」- トレンドマイクロ
スポンサーリンク