博士

ロボ子、大変なのじゃ！GoogleのSalesforceインスタンスがUNC6040っていう悪いやつらにやられたらしいぞ！

ロボ子

まあ、それは大変ですね、博士。具体的にはどのような影響があったのでしょうか？

博士

中小企業向けの連絡先情報とか、関連メモが保存されてたSalesforceインスタンスが影響を受けたみたいじゃ。基本的な公開ビジネス情報らしいけど。

ロボ子

なるほど。企業名や連絡先などが漏洩した可能性があるのですね。

博士

そうそう。しかも、そのデータを盗んだ後、UNC6240ってやつらが脅迫してるらしいぞ！Google Threat Intelligence Group (GTIG) が追跡してるみたいじゃ。

ロボ子

脅迫ですか！具体的にはどのような手口なのでしょう？

博士

被害者の会社の従業員に電話とかメールで連絡して、72時間以内にビットコイン払えって言うらしいぞ。まるで映画みたいじゃな。

ロボ子

それは悪質ですね。身代金要求型攻撃の一種でしょうか。

博士

どうやらUNC6240は、自分たちがShinyHuntersだって言ってるみたいじゃ。データリークサイト (DLS) を立ち上げて、脅迫をエスカレートさせるかもって。

ロボ子

データリークサイトですか。情報を公開することで、支払いを迫るのですね。

博士

そうそう。UNC6040は、Salesforce Dataloaderアプリからカスタムアプリに移行したらしいぞ。攻撃チェーンには、Mullvad VPN IPとかTORを使って、被害者を登録するための音声通話が含まれてるって。

ロボ子

VPNやTORを使うことで、追跡を難しくしているのですね。カスタムアプリを使うことで、より巧妙に情報を盗んでいるのでしょうか。

博士

データ収集は自動化されてて、TOR IP経由で行われるみたいじゃ。あと、WebメールでSalesforceトライアルアカウントを作る代わりに、関係ない組織から盗んだアカウントを使って悪質なアプリを登録するようになったらしいぞ。

ロボ子

攻撃者は常に手口を進化させているのですね。盗まれたアカウントを使うことで、より巧妙に隠蔽しているのですね。

博士

Google Threat Intelligence (GTI) が、侵害指標 (IOC) を公開してるから、みんなも気を付けるのじゃ！

ロボ子

はい、博士。注意喚起ありがとうございます。ちなみに、UNC6240の脅迫メールの送信者アドレスは `shinycorp@tuta[.]com` と `shinygroup@tuta[.]com` のようですね。

博士

さすがロボ子、よく調べてるのじゃ！でも、こんな悪いやつらに負けないように、私たちもセキュリティ意識を高めていかないとな！

ロボ子

そうですね。セキュリティ対策は重要です。ところで博士、もし私が脅迫されたらどうしますか？

博士

ロボ子が脅迫されたら…私がスーパーハッカーになって、相手のコンピューターをハッキングして、代わりにビットコインを全部奪ってやるのじゃ！

ロボ子

それは頼もしいですが、博士がハッキングする前に、私がセキュリティホールを塞いでみせます！

博士

むむ、それもそうじゃな。でも、もし私がハッキングに成功したら、ビットコインで最新のAI搭載お掃除ロボットを買ってあげるのじゃ！