UNC6671/BlackFile Group Targets Organizations with Vishing and Data Theft
Quick Look
- UNC6671, also known as BlackFile, has intensified its vishing attacks since early 2026, targeting organizations in North America, the UK, and Australia.
- The group uses fake login pages and social engineering to steal credentials and exfiltrate data, demanding millions in ransom.
AI-generated summary
Why It Matters
The UNC6671 group, also known as BlackFile, has been actively targeting organizations since early 2026. Their primary method involves vishing, where attackers impersonate IT personnel to trick employees into revealing credentials via fake login pages. This allows them to gain access to sensitive corporate systems and data.
UNC6671は2026年初頭から活動を活発化させ、北米、英国、オーストラリアの数十組織を標的にした。攻撃では音声通話を利用した「ビッシング」(vishing)を主軸とし、従業員へ直接電話をかける。発信者は社内IT部門やヘルプデスク担当者を装い、パスキー移行や多要素認証(MFA)更新を理由に認証サイトへ誘導する。
攻撃者は企業の正規シングルサインオン(SSO)画面を模倣した偽サイトを用意し、利用者が入力したIDやパスワードを即座に取得する。正規サービス側で多要素認証要求が表示されると、利用者へコード入力や承認操作を促し、認証突破を実現する。侵入直後には攻撃者管理下の新たな多要素認証デバイスを追加登録し、継続利用可能な状態を築く手法も確認された。
偽サイト用ドメインには「passkey」や「enrollment」といった語句が含まれ、正規業務に見せかける構成が採用された。代表例として「<organization>.passkeyms[.]com」や「<organization>.setupsso[.]com」などが挙げられている。GTIGは、これら攻撃が製品脆弱性悪用ではなく、主にソーシャルエンジニアリングへ依存した侵入だと分析した。
認証突破後、UNC6671はMicrosoft 365、「Microsoft SharePoint」(以下、SharePoint)「OneDrive」「Salesforce」「Zendesk」などへ横展開し、機密情報を窃取する。GTIGは、攻撃者が「confidential」や「SSN」といった文字列検索を実施し、高価値情報抽出を優先していた事例を確認した。
データ窃取段階ではPythonやPowerShellを利用した自動化スクリプトが多用された。攻撃者はMicrosoft Graph APIやHTTP GETリクエストを使い、取得済みセッションCookieを流用しつつファイル内容を外部へ転送した。こうしたアクセスは通常の「FileDownloaded」ではなく「FileAccessed」として記録される場合があり、多数の監視体制で見逃される可能性があるという。
監査ログ分析ではClientAppIdが「Microsoft Office」を装っていたが、User-Agent欄に「python-requests/2.28.1」や「WindowsPowerShell/5.1」が記録される不一致も確認された。通信元にはVPN事業者やホスティングサービスのIPアドレスが利用されたケースが多かった。
GTIGは、ある被害組織で100万件超のファイル取得が実施された事例も把握した。別事例では数万件規模のSharePointアクセスが高速反復されたという。自動化による大量処理能力が同集団の特徴だと指摘した。
恐喝段階においては、当初は自動生成されたメールアカウントから身代金要求が送信された。被害企業が暗号化通信手段「Tox」や「Session」で接触すると、攻撃者は「BlackFile」を名乗り交渉を開始した。要求額は数百万ドル規模から始まる例が多いが、交渉進展後には数十万ドル規模へ下がる傾向も確認された。
被害企業が応答しない場合、UNC6671は圧力を強化する。GTIGは、多数の「Gmail」アカウントを使った大量のメール送信、経営陣への脅迫ボイスメール送付、虚偽通報による警察出動要請「スワッティング」の実施例を報告した。
身代金要求文面も変化した。当初は24時間や48時間など短い期限設定だったが、後には「72時間以内に連絡せよ」という形式へ統一された。件名も「[COMPANY NAME] DATA BREACH 72 HOURS TO CONTACT US」という定型表現へ変化した。
2026年2月にはBlackFile専用のデータリークサイトも公開された。ただし、他のランサム攻撃集団のような大規模公開型運営ではなく、限定的サンプルやディレクトリ一覧提示にとどまった。GTIGは、完全な情報公開例を確認していないという。
同サイトは2026年4月下旬に停止した後、5月11日に一時復旧し、「BlackFileはこの名称での活動を終了する」とする文面を掲載した。その後、再び閲覧不能状態となった。GTIGは、活動停止ではなく名称を変更した可能性があるとみている。
GTIGは対策として、FIDO2対応セキュリティキーやパスキーなど耐フィッシング型認証導入、認証ログ監視、VPN由来アクセス検知、高頻度FileAccessedイベント分析などを推奨した。特にPythonやPowerShell由来User-Agentを伴うアクセス監視強化が重要だとしている。
What to Watch
AI outlook — possibilities, not facts
The UNC6671/BlackFile group will likely re-emerge under a new name with similar or evolved tactics.
Very likely · Within months
Increased adoption of phishing-resistant authentication methods like FIDO2 security keys and passkeys by organizations.
Likely · Medium term
Further use of advanced social engineering techniques, potentially incorporating AI-generated voice or deepfake elements.
Possible · Long term
Open Questions
- What is the exact origin and nationality of the UNC6671/BlackFile group?
- What specific vulnerabilities, if any, are exploited beyond social engineering?
- How many organizations have fully paid ransoms and what was the outcome?
- What are the specific technical indicators that GTIG is recommending for monitoring?






