2026年4月、脅威アクター「Mr. Raccoon」(UNC6783)が Adobe のサポートチケットシステムから1,300万件の顧客データと HackerOne 脆弱性報告書を窃取したと主張する事件が発覚した。本稿ではテクノロジーの視点から、この攻撃の構造的本質──BPO(Business Process Outsourcing)サプライチェーンの信頼境界崩壊と、サポート基盤の設定ミスが生んだ「全件一括エクスポート」問題──を分析する。FortiClient EMSゼロデイ連鎖Coruna iOSエクスプロイトキットのサプライチェーン分析で繰り返し指摘してきたように、2026年のサイバー攻撃はサプライチェーンの「最も弱い環」を突く構造的パターンを確立しつつある。

事件の全貌 ── Mr. Raccoon(UNC6783)の攻撃声明と窃取データの範囲

2026年4月2日、国際サイバーセキュリティ分析アカウント「International Cyber Digest」が最初に報じたところによると、Mr. Raccoon を名乗る脅威アクターが以下のデータの窃取を主張した。

  • 1,300万件のサポートチケット ── 顧客名、メールアドレス、アカウント情報、技術的な問い合わせ内容を含む
  • 15,000件の従業員レコード ── Adobe社内の人事・組織情報
  • HackerOne バグバウンティ提出物の全量 ── 未公開の脆弱性報告書、PoC(概念実証)コード、攻撃手順を含む
  • 社内文書 ── 範囲は未確認

4月7日には Google/Mandiant が UNC6783 としてこの脅威クラスターを正式に開示し、Adobe に限らず複数の大企業を標的としたBPO侵入キャンペーンであることを明らかにした。2026年4月現在、Adobe は公式声明を発表しておらず、1,300万件という数値の独立検証も完了していない。ただし、複数のセキュリティ研究者がサンプルデータの整合性を「もっともらしい(plausible)」と評価している点は注目に値する。

攻撃チェーンの技術的解剖 ── RAT配置→管理者フィッシング→一括エクスポート

Mr. Raccoon が公開した攻撃手法は、4段階の連鎖攻撃として構造化できる。

Phase 1: BPO外注先への初期侵入

攻撃の起点は Adobe の本体ではなく、インドに拠点を置く BPO(ビジネスプロセスアウトソーシング)企業であった。Adobe はカスタマーサポート業務をインドのBPO企業に外注しており、このBPOの一般サポートエージェントに対してフィッシングメールが送信された。

BPO が標的として選ばれた理由は明確である。第一に、BPO企業は委託元と比較してセキュリティ対策の成熟度が低いケースが多い。EDR(Endpoint Detection and Response)の導入率、MFA(多要素認証)の強制適用、セッション監視の粒度のいずれも、委託元のセキュリティ基準を満たしていない場合がある。第二に、BPOエージェントはクライアントのサポートシステムへの正規アクセス権を既に保有しているため、侵入後の横移動が不要である。

Phase 2: RAT(Remote Access Tool)の展開

フィッシングメール経由で配置された RAT は、以下の機能を提供した。

  • 端末のWebカメラへのアクセス
  • WhatsApp メッセージの傍受
  • 完全なシステム制御と認証情報の収集

RAT の展開自体は技術的に高度な手法ではない。しかし、BPO環境における EDR の検知回避と、正規業務端末上での持続的なアクセス確保という点で、攻撃者は BPO のセキュリティ運用の弱点を正確に把握していたと推測される。

Phase 3: 管理者へのフィッシング連鎖(Privilege Escalation)

ここが本攻撃の核心的テクニックである。攻撃者は、侵入した一般エージェントの端末から得た内部情報──上司の名前、メールアドレス、組織構造、業務フロー──を活用し、そのエージェントの直属マネージャーに対して二次フィッシングを実行した。

このフィッシング連鎖は、Scattered Spider(UNC3944)が確立した「組織の信頼関係を攻撃経路に変換する」手法と構造的に同一である。一般エージェントの認証情報だけではデータのバルクエクスポートは不可能だが、管理者権限を取得することで、サポートチケットシステムの全データにアクセス可能となった。

Phase 4: 1,300万件の一括エクスポート

Mr. Raccoon は攻撃の詳細について、決定的な一文を残している──「They allowed you to export all tickets in one request from an agent.」(エージェントから1リクエストで全チケットをエクスポートできた)。

これはゼロデイ脆弱性でも高度なエクスプロイトでもない。サポートチケットシステムのアクセス制御設定の不備──具体的には、エクスポート機能に対するデータスコープの制限、レート制限、DLP(Data Loss Prevention)連携、SOCアラートのいずれも実装されていなかった──という、設定レベルの問題である。1,300万件のレコードが単一のリクエストで抽出され、セキュリティオペレーションセンターのアラートは一切発火しなかった。

筆者はSOC構築・運用とSIEM導入の実務に携わってきたが、SOCの価値はツールではなく、アラートから判断までの人間のプロセスにある。本件の問題は、そもそもアラートルール自体が存在しなかった点にある。ビジネスアプリケーションのエクスポート機能は「正規機能」であるがゆえに、セキュリティ監視の盲点になりやすい。

HackerOne 報告書流出の二次的リスク ── 「攻撃ロードマップ」の外部流出

本件で最も深刻な影響は、1,300万件の顧客データよりも HackerOne バグバウンティプログラムへの全提出物が流出した可能性にある。

バグバウンティ報告書には、通常以下の情報が含まれる。

  • 未公開の脆弱性の技術的詳細
  • 概念実証(PoC)コードと再現手順
  • 影響範囲の評価と攻撃シナリオ
  • Adobe のセキュリティチームとの対応履歴

これらの報告書には、パッチ未適用の脆弱性、優先度が低いとして対応保留中の脆弱性、部分的にのみ修正された脆弱性に関する情報が含まれている可能性がある。流出した報告書は、他の脅威アクターにとって Adobe 製品への「攻撃ロードマップ」として機能し得る。Chrome CVE-2026-5281ゼロデイ連鎖の事例が示すように、脆弱性情報の非対称性は攻撃者に圧倒的な優位性を与える。

特に問題なのは、バグバウンティプログラムが「セキュリティ向上のための善意の仕組み」として設計されている点である。研究者は脆弱性を責任ある形で報告しているが、その報告書自体がサプライチェーン侵害によって流出するリスクは、バグバウンティプログラムの設計段階では十分に考慮されていない。

BPOサプライチェーンの構造的脆弱性 ── インド外注モデルの攻撃面

Adobe のインド拠点には、Adobe Consultants & Outsourcing Private Limited(2007年設立、ウッタル・プラデーシュ州ラクナウ)および Adobe Systems India Private Limited(1997年設立、デリー)が存在する。加えて、TCS(Tata Consultancy Services)を含む複数のBPOパートナーがカスタマーサポート業務を受託しているとされる。

BPOサプライチェーンが構造的な攻撃面を形成する要因は以下の5点に集約される。

要因技術的詳細リスクレベル
セキュリティ成熟度の非対称性委託元はSOC 2 Type II準拠でも、BPO先は ISO 27001 未取得のケースが多い
事前承認されたアクセス権BPOエージェントはサポートシステムへの正規アクセスを保有、侵入後の横移動が不要
EDR/MFA の適用格差委託元のセキュリティポリシーがBPO端末に強制適用されていない中〜高
セッション監視の不在BPOエージェントのセッションに対する行動分析・異常検知が未実装
物理的セキュリティの制約BPOセンターの入退室管理、BYOD制限、USBポート制御の水準が不明

筆者は全国規模のWAFサービスで技術主任を務めた経験があるが、セキュリティサービスの品質は自社の管理範囲でしか保証できないという原則を痛感してきた。BPOモデルでは、この管理範囲が委託先にまで拡張されるが、実際のセキュリティ統制は委託元の直接管理下にない。これが「信頼の委譲」問題の本質である。

2025年5月の Marks & Spencer 物流侵害でも、サードパーティ契約業者へのソーシャルエンジニアリングが初期アクセスの起点となっており、BPOサプライチェーン攻撃は2026年のサイバー脅威における支配的パターンとなりつつある。

UNC6783の脅威プロファイルと攻撃キャンペーンの広がり

Google/Mandiant が2026年4月7日に開示した UNC6783 は、Mr. Raccoon の活動を包含する脅威クラスターである。その運用特性は以下のように整理できる。

  • 専門領域: BPOおよびサードパーティアウトソーサーの侵害に特化
  • 標的範囲: 複数セクターにまたがる数十の大企業
  • 攻撃手法: ソーシャルエンジニアリング(Scattered Spider との手法類似性)とデータ恐喝の組み合わせ
  • 新規手法: ライブチャットベースのフィッシング、Okta偽装インフラの構築
  • 恐喝手段: ProtonMail経由での連絡、暗号通貨での支払い要求

UNC6783 と既知のAPTグループ(Scattered Spider/UNC3944、ShinyHunters/UNC6240)との関連性は未確認であるが、運用上の類似性から一部のアナリストは潜在的な関連を指摘している。特に、ライブチャットフィッシングや Okta 偽装という手法は、2023-2024年に Scattered Spider が確立した BPO/ヘルプデスク標的型攻撃の進化形と位置づけられる。

注目すべきは、UNC6783 が「データ窃取後の恐喝」モデルを採用している点である。ランサムウェアによる暗号化ではなく、窃取データの公開脅迫による金銭要求という手法は、バックアップ対策の普及によりランサムウェアの有効性が低下した2026年の脅威トレンドを反映している。Next.js CVE-2025-55182の大規模侵害でも確認されたように、認証情報の窃取とデータ恐喝は、マルウェアに代わる主要な攻撃収益化手段となっている。

サプライチェーンリスク管理の実装設計 ── 防御側が今日から取るべき5つの対策

本件から導出される具体的な防御実装を、優先度順に提示する。

1. エクスポート機能のガバナンス強化

サポートチケットシステム、CRM、ERPなどのビジネスアプリケーションにおけるデータエクスポート機能に対して、以下の制御を実装する。

  • データスコープ制限: エージェント単位で閲覧・エクスポート可能なレコード範囲を制限(自身が担当するチケットのみ等)
  • レート制限: 単一セッション/ユーザーあたりのエクスポート件数に上限を設定(例: 1回のエクスポートで最大1,000件)
  • 承認ワークフロー: 大量エクスポート(閾値超過)時には上長承認を必須化
  • DLP連携: エクスポートデータに対するDLPスキャンとアラート発火

2. BPO/サードパーティのセキュリティ統制

  • SSPM(SaaS Security Posture Management)の導入により、BPOエージェントのSaaSアクセスをリアルタイム監視
  • ゼロトラスト原則の適用: BPOエージェントのセッションに対するCASB(Cloud Access Security Broker)経由のアクセス制御
  • 継続的監査: SOC 2 Type II の年次監査に加え、四半期ごとのペネトレーションテストをBPO契約に含める
  • セグメンテーション: BPOアクセスを専用VLANに限定し、本社ネットワークとの直接接続を排除

3. フィッシング連鎖に対する多層防御

  • FIDO2/パスキーの強制適用: パスワード+SMSのMFAではフィッシング連鎖を防げない。FIDO2ベースの認証をBPOエージェントにも強制する
  • 条件付きアクセス: 管理者権限のアクセスはマネージドデバイスからのみ許可し、地理的・時間的条件を付与
  • 特権セッション監視: PAM(Privileged Access Management)による管理者セッションの録画・リアルタイム監視

4. バグバウンティ報告書の保護強化

  • 報告書のアクセス制御: サポートチケットシステムと脆弱性管理システムのアクセス権を完全に分離
  • 暗号化保存: 報告書データの保存時暗号化に加え、アクセスごとの復号ログを記録
  • 最小権限原則: バグバウンティ報告書へのアクセスをセキュリティチームの特定メンバーに限定

5. SOCアラートルールの拡張

筆者のインシデント対応経験から強調したいのは、事後のポストモーテムこそが組織のセキュリティ成熟度を上げる最大の機会であるという点である。本件を他山の石として、自組織のSOCが以下のシナリオを検知できるか検証すべきである。

  • ビジネスアプリケーションからの大量データエクスポート
  • 通常業務時間外のBPOエージェントによるアクセス
  • 短時間での権限昇格パターン(一般→管理者)
  • 同一IPからの複数アカウントログイン

FAQ

Adobe侵害事件の被害規模はどの程度か?

脅威アクター Mr. Raccoon は、1,300万件のサポートチケット、15,000件の従業員レコード、HackerOneバグバウンティ報告書の全量が窃取されたと主張している。ただし、2026年4月現在、Adobe は公式に侵害を確認していない。複数のセキュリティ研究者はサンプルデータの整合性を「もっともらしい」と評価しているが、全量の独立検証は完了していない。

なぜBPO外注先が攻撃の起点になったのか?

BPO企業は委託元のサポートシステムへの正規アクセス権を保有しながら、セキュリティ成熟度が委託元より低いケースが多い。EDR、MFA、セッション監視の適用格差が構造的な攻撃面を形成する。攻撃者にとっては、委託元の堅牢な防御を迂回してデータにアクセスできる「バイパス経路」として機能する。

HackerOne報告書の流出は何が問題なのか?

バグバウンティ報告書には未公開の脆弱性の技術的詳細、PoCコード、攻撃手順が含まれる。パッチ未適用や対応保留中の脆弱性情報が流出した場合、他の脅威アクターがAdobe製品への攻撃ロードマップとして悪用できる。バグバウンティプログラムの善意の仕組み自体が二次攻撃のベクターになるという構造的矛盾を突いている。

「全件一括エクスポート」の問題はどう防げるか?

サポートチケットシステムのエクスポート機能に対して、データスコープ制限(担当チケットのみ)、レート制限(1回最大1,000件等)、大量エクスポート時の上長承認ワークフロー、DLP連携によるアラート発火を実装すべきである。これらは高度な技術を要さない設定レベルの対策であり、今日から実施可能である。

UNC6783(Mr. Raccoon)は既知のAPTグループと関連があるか?

Google/Mandiant の正式開示では、既知のAPTグループとの確定的な関連は示されていない。ただし、ソーシャルエンジニアリング手法がScattered Spider(UNC3944)と類似しており、データ恐喝モデルがShinyHunters(UNC6240)と構造的に同一であるため、一部のアナリストは運用上の関連性を指摘している。

参考文献