2025年11月3日、エクサフォースは、顧客の Google Workspace アカウントを侵害しようとする組織的な試みを検知しました。この一連の攻撃は、12:06 UTC にブダペストの商用プロキシからのログイン失敗で始まりました。その数時間後、ユーザーが通常のアッシュバーンの場所から同時にアクティブであったにもかかわらず、シカゴの Linode サーバーからログインが成功し、攻撃はエスカレートしました。
シカゴからのログイン後、数分以内に、攻撃者は標準的なアカウント乗っ取り手法によって永続化を確立しました。このようなシナリオでは、従来のルールベースのツールでは、これらのシグナルをつなぎ合わせることが困難です。プロキシベースのインフラ、異常な ASN、インポッシブルトラベル、再認証イベント、短時間に連続して発生する機密性の高い変更を相関できる静的ルールを構築するには、極めて複雑なロジックと継続的な手動チューニングが必要になります。エクサフォースは、アナリストが通常であれば何時間もかけて突き合わせる必要があるシグナルを自動的に相関し、この負担を解消しました。
本記事では、この攻撃の概要と、エクサフォースの Agentic AI SOC プラットフォームが、この標的型攻撃をどのように特定し、相関し、最終的に遮断を支援したかを説明します。
エグゼクティブサマリー
攻撃時間帯: 2025年11月3日(12:06〜18:11 UTC)
初期ベクトル: 商用プロキシ出口ノードからのログイン失敗
インフラ: 複数の商用プロキシサービス(IPRoyal、MarsProxies、NodeMaven、ProxySeller、Webshare)および Linode クラウドサーバー
エクサフォースの検知: インポッシブルトラベル、異常な ASN、未知の IP インフラ、機密操作の実行
結果: 攻撃者は2回の認証に成功し、復旧用メールを変更し、アカウントパスワードをリセット
ユーザーベースライン: 通常のアクティビティはアッシュバーンおよびアムステルダムから発生しており、攻撃元であるシカゴまたはブダペストに一致するものはなし
修復対応: 顧客による調査が完了するまで、アカウントを一時的に無効化
攻撃の構造
1. 初期偵察とアクセス試行の失敗
12:06 UTC - ブダペスト(商用プロキシ)
悪意のあるアクティビティの最初の兆候は、ブダペストの商用プロキシ出口ノードから発生したログイン失敗でした。使用されたインフラは複数のプロキシサービスと関連しており、攻撃者が実際の所在地を隠していたことを示しています。この段階ではアクセスは取得されませんでした。
2. 攻撃者が態勢を立て直し、有効な認証情報を取得
12:06〜17:39 UTC - 5.5時間の沈黙
ログイン失敗後、攻撃者は活動を停止しました。この時間帯は認証情報の収集手法と一致しており、被害者の Google Workspace パスワードを取得するためのフィッシング誘導が関与していた可能性があります。
3. 不正アクセスの成立
17:39 UTC - シカゴ(Linode クラウドサーバー)
正規ユーザーがアッシュバーンでアクティブであった間に、攻撃者はシカゴの Linode クラウドサーバーを使用して認証に成功しました。これにより、明確なインポッシブルトラベルのシナリオが発生し、初期アクセスが成立した時点が示されました。エクサフォースの自動相関により、この事象は即座に重大なものとして扱われました。一方、従来のツールでは、地理情報、ASN、インフラの異常といった個別の要素を結び付けるために、手動でのルール連結やアナリストによる調査が必要でした。
この認証成功は、VPN 出口ノードからの「reauth」ログインとして記録され、最高重大度のシグナルを発生させました。これは、攻撃者が有効なセッション認証情報を保持し、アカウントを完全に乗っ取っていたことを示唆しています。
4. 永続化の確立
17:43 UTC - 復旧用メールの変更
攻撃者は直ちにアカウントの復旧用メールを変更し、アカウントリセットのフローを自身が管理する受信トレイにリダイレクトしました。
17:45 UTC - パスワードの変更
2分後、アカウントパスワードがリセットされました。この時点で、攻撃者は正規ユーザーを Google Workspace アカウントから完全にロックアウトしていました。
完全な乗っ取りまでの時間: 6分
6. ローテーションするプロキシインフラを使用した継続的なアクセス
18:11 UTC - ブダペスト(2つ目のプロキシ)
乗っ取りから約30分後、攻撃者は再度認証を行い、今回はブダペストの別のプロキシサービス経由でアクセスしました。これにより、新たに設定されたパスワードが実際に使用されていることが確認されるとともに、匿名化インフラを意図的に切り替えていることが示されました。これは、従来ツールの単一イベントベースの検知ルールでは見逃されやすい典型的なケースです。
7. 露出期間と潜在的な影響
17:39〜18:11 UTC の間、攻撃者はユーザーの Gmail、Drive、連絡先、カレンダー、SaaS インテグレーション、OAuth 連携サービスにアクセス可能な状態で活動していました。この期間におけるデータ露出または改ざんの範囲については、現在調査中です。
8. 現在の状況と対応
アカウントは封じ込め済みであり、複数の対応手順が現在進行中です。さらなるアクティビティを防ぐため、アカウントは一時停止されました。正当な所有者であることを確認するため、ユーザーとの帯域外検証が実施されています。管理者は、メール転送ルール、OAuth トークン、Drive アクティビティを確認し、永続化メカニズムやデータアクセスの有無を特定しています。安全な認証を復旧するため、監督下でパスワードと MFA のリセットが実施されています。最後に、不正セッション中に実行されたすべての操作について、影響範囲の全体像を特定するための調査が行われています。
対応と修復
調査と顧客通知
重大なアカウント変更を検知すると、エクサフォースの MDR アナリストは直ちに、相関されたシグナルの調査を開始しました。プラットフォームの自動検知およびエンリッチメント機能により、包括的な証拠パッケージが数分以内に生成されました。これにより、人による分析が加速し、全体的な影響を抑えるための迅速で的確な対応が可能になりました。
得られた教訓
この実際のアカウント乗っ取り事例は、自動化され、コンテキストを考慮したセキュリティ運用が極めて重要であることを示しています。プロキシ回避、2段階認証のバイパス、迅速な実行を組み合わせた現代の攻撃の高度化には、同じく高度な防御メカニズムが求められます。
エクサフォースの自動検知は、数分以内に脅威を特定し、一見ばらばらに見えるシグナルを一貫した攻撃ストーリーとして相関し、攻撃者が永続的なアクセスを確立したりデータを流出させたりする前に封じ込めを実行しました。これは、従来のツールでは広範なカスタムルール設計なしには検知が困難な作業です。アイデンティティが新たな境界となる時代において、エクサフォースは、最も高度なアカウント侵害の試みからも保護するために必要な自動化された監視能力を提供しています。
