Breaking
ITRussia bombarda l'Ucraina, Meloni incontra Zelensky: "Sostegno a Kiev"PLTrump: "Myślę, że to koniec" wstępnego porozumienia pokojowego z IranemITPrezzo del petrolio in rialzo dopo le parole di Trump sull'IranARالأسهم العالمية تتراجع وأسعار النفط تقفز مع تصاعد التوترات بين أمريكا وإيرانARارتفاع أسعار النفط وسط تصاعد التوترات بين إيران والولايات المتحدةDEGrünen-Politiker will Sparpaket für Krankenkassen stoppen lassenARربع النهائي: 8 منتخبات تتنافس على 4 مقاعد في نصف النهائيITCorte d'appello conferma colpevolezza Le Pen, ridotta penaITCarburanti: prezzi in costante rialzo dopo lo stop allo sconto acciseJPサッカーW杯、米国で高まる関心 代表チームの快進撃で観戦者増加ITRussia bombarda l'Ucraina, Meloni incontra Zelensky: "Sostegno a Kiev"PLTrump: "Myślę, że to koniec" wstępnego porozumienia pokojowego z IranemITPrezzo del petrolio in rialzo dopo le parole di Trump sull'IranARالأسهم العالمية تتراجع وأسعار النفط تقفز مع تصاعد التوترات بين أمريكا وإيرانARارتفاع أسعار النفط وسط تصاعد التوترات بين إيران والولايات المتحدةDEGrünen-Politiker will Sparpaket für Krankenkassen stoppen lassenARربع النهائي: 8 منتخبات تتنافس على 4 مقاعد في نصف النهائيITCorte d'appello conferma colpevolezza Le Pen, ridotta penaITCarburanti: prezzi in costante rialzo dopo lo stop allo sconto acciseJPサッカーW杯、米国で高まる関心 代表チームの快進撃で観戦者増加
Newsgather
BackUNC6671/BlackFile Group Targets Organizations with Vishing and Data Theft
UNC6671/BlackFile Group Targets Organizations with Vishing and Data Theft
Urgent
ITmedia5/18/2026Crime5 min readJapan

UNC6671/BlackFile Group Targets Organizations with Vishing and Data Theft

Quick Look

  • UNC6671, also known as BlackFile, has intensified its vishing attacks since early 2026, targeting organizations in North America, the UK, and Australia.
  • The group uses fake login pages and social engineering to steal credentials and exfiltrate data, demanding millions in ransom.

AI-generated summary

Why It Matters

The UNC6671 group, also known as BlackFile, has been actively targeting organizations since early 2026. Their primary method involves vishing, where attackers impersonate IT personnel to trick employees into revealing credentials via fake login pages. This allows them to gain access to sensitive corporate systems and data.

Font size

UNC6671は2026年初頭から活動を活発化させ、北米、英国、オーストラリアの数十組織を標的にした。攻撃では音声通話を利用した「ビッシング」(vishing)を主軸とし、従業員へ直接電話をかける。発信者は社内IT部門やヘルプデスク担当者を装い、パスキー移行や多要素認証(MFA)更新を理由に認証サイトへ誘導する。

攻撃者は企業の正規シングルサインオン(SSO)画面を模倣した偽サイトを用意し、利用者が入力したIDやパスワードを即座に取得する。正規サービス側で多要素認証要求が表示されると、利用者へコード入力や承認操作を促し、認証突破を実現する。侵入直後には攻撃者管理下の新たな多要素認証デバイスを追加登録し、継続利用可能な状態を築く手法も確認された。

偽サイト用ドメインには「passkey」や「enrollment」といった語句が含まれ、正規業務に見せかける構成が採用された。代表例として「<organization>.passkeyms[.]com」や「<organization>.setupsso[.]com」などが挙げられている。GTIGは、これら攻撃が製品脆弱性悪用ではなく、主にソーシャルエンジニアリングへ依存した侵入だと分析した。

認証突破後、UNC6671はMicrosoft 365、「Microsoft SharePoint」(以下、SharePoint)「OneDrive」「Salesforce」「Zendesk」などへ横展開し、機密情報を窃取する。GTIGは、攻撃者が「confidential」や「SSN」といった文字列検索を実施し、高価値情報抽出を優先していた事例を確認した。

データ窃取段階ではPythonやPowerShellを利用した自動化スクリプトが多用された。攻撃者はMicrosoft Graph APIやHTTP GETリクエストを使い、取得済みセッションCookieを流用しつつファイル内容を外部へ転送した。こうしたアクセスは通常の「FileDownloaded」ではなく「FileAccessed」として記録される場合があり、多数の監視体制で見逃される可能性があるという。

監査ログ分析ではClientAppIdが「Microsoft Office」を装っていたが、User-Agent欄に「python-requests/2.28.1」や「WindowsPowerShell/5.1」が記録される不一致も確認された。通信元にはVPN事業者やホスティングサービスのIPアドレスが利用されたケースが多かった。

GTIGは、ある被害組織で100万件超のファイル取得が実施された事例も把握した。別事例では数万件規模のSharePointアクセスが高速反復されたという。自動化による大量処理能力が同集団の特徴だと指摘した。

恐喝段階においては、当初は自動生成されたメールアカウントから身代金要求が送信された。被害企業が暗号化通信手段「Tox」や「Session」で接触すると、攻撃者は「BlackFile」を名乗り交渉を開始した。要求額は数百万ドル規模から始まる例が多いが、交渉進展後には数十万ドル規模へ下がる傾向も確認された。

被害企業が応答しない場合、UNC6671は圧力を強化する。GTIGは、多数の「Gmail」アカウントを使った大量のメール送信、経営陣への脅迫ボイスメール送付、虚偽通報による警察出動要請「スワッティング」の実施例を報告した。

身代金要求文面も変化した。当初は24時間や48時間など短い期限設定だったが、後には「72時間以内に連絡せよ」という形式へ統一された。件名も「[COMPANY NAME] DATA BREACH 72 HOURS TO CONTACT US」という定型表現へ変化した。

2026年2月にはBlackFile専用のデータリークサイトも公開された。ただし、他のランサム攻撃集団のような大規模公開型運営ではなく、限定的サンプルやディレクトリ一覧提示にとどまった。GTIGは、完全な情報公開例を確認していないという。

同サイトは2026年4月下旬に停止した後、5月11日に一時復旧し、「BlackFileはこの名称での活動を終了する」とする文面を掲載した。その後、再び閲覧不能状態となった。GTIGは、活動停止ではなく名称を変更した可能性があるとみている。

GTIGは対策として、FIDO2対応セキュリティキーやパスキーなど耐フィッシング型認証導入、認証ログ監視、VPN由来アクセス検知、高頻度FileAccessedイベント分析などを推奨した。特にPythonやPowerShell由来User-Agentを伴うアクセス監視強化が重要だとしている。

What to Watch

AI outlook — possibilities, not facts

  • The UNC6671/BlackFile group will likely re-emerge under a new name with similar or evolved tactics.

    Very likely · Within months

  • Increased adoption of phishing-resistant authentication methods like FIDO2 security keys and passkeys by organizations.

    Likely · Medium term

  • Further use of advanced social engineering techniques, potentially incorporating AI-generated voice or deepfake elements.

    Possible · Long term

Open Questions

  • What is the exact origin and nationality of the UNC6671/BlackFile group?
  • What specific vulnerabilities, if any, are exploited beyond social engineering?
  • How many organizations have fully paid ransoms and what was the outcome?
  • What are the specific technical indicators that GTIG is recommending for monitoring?

Related Topics

This article was originally published by ITmedia.

Related Stories

More on this topicUNC6671