Silent Ransom Group（SRG）とは何ですか？

Luna Moth・Chatty Spider・UNC3753とも呼ばれる金銭目的の恐喝集団で、少なくとも2022年から活動しています。データを暗号化せず窃取し、公開・販売をちらつかせて身代金を要求する「窃取専業」の恐喝を得意とし、法律事務所を主な標的に保険・金融・医療なども狙います。

コールバックフィッシングとは何ですか？

メール本文に悪意あるリンクや添付を入れず、代わりに電話番号を記載して被害者に折り返し電話をさせる手口です。URLが含まれないためメールフィルタをすり抜けやすく、電話に出た攻撃者がIT担当者になりすまして遠隔操作の許可を引き出します。

なぜ攻撃者がオフィスに出向くのですか？

電話やメールでの遠隔操作の誘導が失敗した場合の次の手段だからです。FBIによれば、SRGはIT担当者を装って受付を通過し、「セキュリティ問題対応でPCのバックアップが必要」と偽ってUSBを挿し、データを吸い出します。

なぜアンチウイルスで検知しにくいのですか？

SRGは独自のマルウェアではなく、AnyDeskやSplashtopなどIT管理者が日常的に使う正規の遠隔操作・管理ツールを悪用するためです。署名された正規ソフトは「既知の悪性ファイル」として検知されにくく、環境寄生型（Living off the Land）に近い回避が成立します。

SRGの攻撃を防ぐにはどうすればよいですか？

メールに書かれた番号には折り返さず社内ディレクトリの正規番号からかけ直す運用、ヘルプデスクの双方向本人確認、IT保守を名乗る訪問者にも事前申請を必須とする入退室ルール、業務PCのUSB無効化、許可されていない遠隔操作ツールのアプリ制御によるブロック、管理外クラウドへの大量アップロード検知が有効です。

Silent Ransom Group（Luna Moth）詳解 - ITを装い「出向く」対面型恐喝とコールバックフィッシングの手口・対策

サイバー攻撃と聞くと、遠隔地からネットワーク越しに侵入してくる姿を思い浮かべる人が多いだろう。しかし2026年5月26日、米FBIが公表したFlash報告は、その常識を覆す手口に警鐘を鳴らした。恐喝集団Silent Ransom Group（SRG）が、ITサポートを装って電話やメールで標的を操るだけでなく、それが失敗すると攻撃者自身がオフィスに「出向いて」端末からデータを盗むという、物理的な侵入にまで踏み込んでいるのだ。本稿では、この「対面型恐喝」の手口がなぜ成立し、何を見落とすと突破されるのか、そして組織が今すぐ確認すべき点を実務目線で解説する。

概要

攻撃者：Silent Ransom Group（SRG）。別名 Luna Moth・Chatty Spider・UNC3753。少なくとも2022年から活動する金銭目的の恐喝集団。
警告主体：FBI（IC3）。2026年5月26日付のFlash報告（TLP:CLEAR）で手口と対策を公表。
主な標的：法律事務所が最大の標的。ほかに保険・金融・医療など、機密性の高い顧客情報を抱える業種。
手口：コールバックフィッシング（折り返し電話を誘うフィッシング）と電話によるIT支援なりすまし。失敗すると対面（in-person）での物理侵入に発展する。
恐喝形態：データを暗号化せず窃取のみ。盗んだ情報をリークサイトで公開・販売すると脅す。

何が起きたのか

SRG（Luna Moth）は新顔ではない。2022年以降、医療や金融、保険業などを標的に「コールバックフィッシング」で知られてきたグループだ。今回FBIがあらためて警告を出した理由は、その手口が段階的にエスカレートし、ついに物理的な訪問にまで及んだ点にある。

典型的な流れはこうだ。まず、SRGは標的組織の従業員に対し、「サブスクリプションの更新」「不審なアクティビティの検知」などを装ったフィッシングメールを送る。このメールにはリンクや添付の代わりに電話番号が書かれており、従業員に「IT部門（あるいはサポート窓口）へ折り返し電話するよう」促す。これがコールバックフィッシングだ。リンクを踏ませる通常のフィッシングと違い、メール本文に悪意あるURLが含まれないため、メールフィルタをすり抜けやすい。

従業員が電話をかけると、待ち構えていた攻撃者がIT担当者になりすまし、「問題を解決するため」と称してリモートデスクトップセッションの開始や遠隔操作ツールのインストールを促す。被害者が自らの手で攻撃者に画面共有・操作権限を与えてしまえば、攻撃者は静かにファイルを外部へ持ち出す。

FBIが特に強調したのは、この電話・メール作戦が失敗した場合の「次の一手」だ。SRGは標的のオフィスに人を送り込み、自社IT部門の人間を装って受付を通過する。そして「先ほど連絡したセキュリティ問題の対応で、PCのバックアップ（イメージ作成）が必要だ」と説明し、USBドライブを端末に挿してデータを吸い出す。盗んだデータはGoogle DriveやOneDriveなどのファイル共有サービスへアップロードするか、USB・外付けドライブにコピーして持ち去る。

技術的な解説

なぜアンチウイルスに引っかからないのか

SRGの攻撃が厄介なのは、「マルウェアらしいマルウェア」をほとんど使わない点にある。FBIは「SRGは概して正規のシステム管理ツールや遠隔操作ツールを使って攻撃を遂行する」と指摘している。具体的には、AnyDesk・Splashtop・Atera・Syncroといった、IT管理者が日常的に使う正規のRMM（リモート監視・管理）ツールが悪用される。

これらは署名された正規のソフトウェアであり、それ自体は悪性ではない。そのためアンチウイルスやEDRは「既知の悪性ファイル」としては検知しにくい。これは環境寄生型（Living off the Land）の考え方に近く、「攻撃者が持ち込んだ道具」ではなく「もともと正規に存在する／正規に見える道具」を悪用することで、シグネチャベースの防御をすり抜ける。

暗号化しない「窃取のみ」恐喝への移行

SRGはファイルを暗号化しない。データを盗み出し、「公開されたくなければ金を払え」と脅す窃取専業の恐喝（exfiltration-only extortion）だ。これは2026年のランサムウェア全体の潮流とも一致する。暗号化は復旧妨害という「派手な被害」を生むが、検知されやすく、バックアップがあれば失敗する。一方、データ窃取のみであれば、侵入の痕跡が小さく、被害者が気づいた時にはすでにデータが外部にある。

SRGはさらに、盗んだデータを公開すると脅すリークサイトを運用し、ときには被害組織の従業員や顧客に直接連絡して圧力をかける。法律事務所が狙われるのは、顧客の訴訟情報・和解内容・個人情報といった「公開されると致命的」な機密を大量に保有しており、評判リスクから身代金を払いやすいと見込まれているためだ。

「人」を標的にする攻撃の本質

この攻撃チェーンの全段階——フィッシング、なりすまし電話、対面訪問——に共通するのは、技術的な脆弱性ではなく「人と運用」を突いている点だ。パッチを当てても、ファイアウォールを強化しても、従業員が「ITだと名乗る相手」を信用してしまえば突破される。受付が「IT担当です」という訪問者をそのまま通し、従業員が「USBでバックアップを取ります」という説明を疑わなければ、最新のセキュリティ製品があっても意味をなさない。

日本企業への影響

SRGの現在の主標的は米国の法律事務所だが、手口そのものは業種・国を選ばない。日本企業にとっても他人事ではない。

コールバックフィッシングは言語の壁を越える：メールに電話番号だけを書く手口は、翻訳の不自然さが出にくく、日本語環境にも容易に適応できる。「ご請求」「自動更新のお知らせ」を装った和文メールで折り返しを促す亜種は十分に想定される。
士業・コンサル・医療は構造的に狙われやすい：法律事務所、会計事務所、特許事務所、医療機関など、顧客の機密を預かる業種は「公開されると困る」がゆえに恐喝が成立しやすい。日本でもこれらの業種は標的価値が高い。
受付・入退室管理の「性善説」が穴になる：日本のオフィスは来訪者対応が丁寧な一方、「IT保守です」と言われると疑いにくい文化がある。委託先のIT保守業者が頻繁に出入りする環境では、なりすましの紛れ込む余地が大きい。
正規RMMツールは社内にも普通に存在する：AnyDeskやSplashtopなどは正規の保守でも使われるため、「見慣れたツールが動いている」だけでは不審と気づけない。

今すぐ確認すべきポイント

1. ヘルプデスク・IT問い合わせの「本人確認手順」を定める

従業員からIT部門への問い合わせ、IT部門から従業員への連絡の双方向で本人確認の手順を定める。とくに「リモート操作をお願いする」「パスワードをリセットする」といった操作の前には、事前に共有したコールバック番号（社内ディレクトリ記載の正規番号）からかけ直す運用にする。メールに書かれた番号には絶対に折り返さない、を周知する。

2. 「対面でも疑う」入退室・来訪者ルールにする

IT保守を名乗る訪問者に対しても、事前申請のない作業は一切受け付けない運用を徹底する。具体的には次を確認する。

来訪は事前予約制とし、担当者名・作業内容・時間を申請させる。受付は社内担当者へ照会してから入館を許可する
「USBを挿す」「PCをバックアップする」といった作業は、その場の説明だけで絶対に許可しない。正規の保守でも所定の申請・立ち会いを必須にする
業務PCのUSBポートは原則無効化し、外部記憶媒体の接続を資産管理・DLPで制御・記録する

3. 許可されていないリモート操作ツールを制限する

AnyDesk・Splashtop・Atera・TeamViewerなど、業務で使わないRMM／遠隔操作ツールはアプリ制御（WDAC/AppLocker）で実行をブロックする。業務で使うものは許可リスト方式で限定し、それ以外の遠隔操作ツールの起動・通信をEDRやプロキシでアラート化する。

4. 大量のデータ持ち出しを検知する

窃取型恐喝は「データが外に出る瞬間」が最後の検知機会だ。次を監視する。

個人のGoogle Drive・OneDrive・Dropboxなど管理外クラウドへの大量アップロード（CASB／DLP／プロキシで検知）
ファイルサーバーや文書管理システムからの普段と異なる大量ダウンロード・コピー
USB等のリムーバブルメディアへの大量書き込み

5. フィッシング耐性のある認証と従業員教育

フィッシング耐性のあるMFA（FIDO2/Passkey）を導入し、SMSやワンタイムコードに依存しない。あわせて、「ITを名乗る電話・メール・訪問は疑う」「画面共有や遠隔操作を求められたら一旦切って正規窓口へ確認する」といったソーシャルエンジニアリング前提の訓練を定期的に行う。万一侵入や持ち出しが疑われた場合は、インシデント対応手順に沿って初動対応する。

参考情報

FBI（IC3）: Flash Report — Silent Ransom Group Impersonating IT Personnel through Social Engineering（2026年5月26日、TLP:CLEAR）
Help Net Security: Hackers are knocking on office doors pretending to be IT staff（2026年5月27日）
Dark Reading: Ransomware Actors Show Up In Person to Steal Law Firm Data
The Record (Recorded Future News): FBI warns extortion hackers are visiting US law firms to steal data