Last Updated on 2025-05-04 10:59 by admin
2025年4月下旬から5月初旬にかけて、英国の複数の大手小売業者がサイバー攻撃を受けた。被害を受けた主な企業はMarks & Spencer(M&S)、Co-opグループ、Harrodsの3社である。
攻撃の概要と影響
Marks & Spencer:4月21日に攻撃を受け、5月2日時点でもオンライン注文が停止。店舗内の非接触型決済システムやクリック&コレクトなどのデジタルサービスも影響を受けた。DragonForceランサムウェアによる暗号化攻撃を受け、倉庫業務が停止し、約200人のスタッフが自宅待機を指示された。この攻撃により、M&Sの株価は大幅に下落した。
Co-opグループ:4月30日、ハッカーが顧客データを盗んだと発表。当初はバックオフィスとコールセンターサービスへの小規模な影響と説明されたが、後に全スタッフのVPNアクセスが停止され、より深刻な侵害が示唆された。
Harrods:2025年5月1日に公式にサイバー攻撃を確認。予防措置として店舗と施設のすべてのインターネットアクセスを制限したが、店舗運営は継続し、顧客はオンラインで買い物ができる状態を維持した。
攻撃の背後にいる脅威アクター
Scattered Spider(別名:Octo Tempest、UNC3944、0ktapus):M&Sへの攻撃の背後にいると考えられている。2022年5月から活動している金銭目的の脅威グループで、主に若い英語話者のハッカーで構成されている。これまでに100以上の標的型攻撃を実行している。
DragonForce:2023年にランサムウェア・アズ・ア・サービス(RaaS)プレイヤーとして登場したグループ。M&Sへの攻撃でDragonForceランサムウェア暗号化ツールが使用された。
攻撃手法
Scattered Spiderは多段階侵入アプローチを使用している:
認証情報盗難による初期アクセス(2月にWindows ドメインコントローラーからNTDS.ditファイルを盗んだと考えられる)
横方向への移動(VMware ESXiホストを含む高価値資産へのアクセス)
持続性と権限昇格
対応状況
英国の国家サイバーセキュリティセンター(NCSC)は5月1日、小売業者に影響を与える一連の攻撃を追跡していると発表。NCSCのリチャード・ホーンCEOは「これらの事件はすべての組織にとって警鐘となるべき」と述べた。メトロポリタン警察サイバー犯罪部門と犯罪庁(NCA)がM&S攻撃の調査を実施している。労働党のマット・ウェスタン議員(国家安全保障戦略合同委員会議長)は、重大なサイバー攻撃を防ぐためにより強力な行動を取るよう政府に要請した。
from:UK Retailers Reeling From Likely Ransomware Attacks
【編集部解説】
英国小売業界を揺るがす今回のサイバー攻撃は、デジタル化が進む現代社会における企業の脆弱性を浮き彫りにしています。特に注目すべきは、攻撃の標的となった企業が英国を代表する大手小売チェーンであることです。Marks & Spencer、Co-op、Harrodsといった名だたる企業が相次いで被害に遭ったことで、サイバーセキュリティの重要性が改めて認識されています。
今回の攻撃で使用されたとされるDragonForceランサムウェアは、2023年12月に登場した比較的新しい脅威です。注目すべき点は、このランサムウェアがホワイトラベルサービスとして提供されており、サイバー犯罪チームが独自のブランドとして利用できる点です。これはランサムウェア・アズ・ア・サービス(RaaS)と呼ばれるビジネスモデルの一例で、技術的知識がなくても攻撃を実行できるようになっています。
Scattered Spiderの攻撃手法は非常に洗練されています。彼らは初期アクセスから最終的な攻撃まで、多段階のアプローチを取ります。特に注目すべきは、2月にWindows ドメインコントローラーからNTDS.ditファイルを盗み出し、そこから抽出したパスワードハッシュを使って正規のアクセス権を得たとされる点です。これは、単純なマルウェア感染ではなく、計画的かつ持続的な侵入であることを示しています。
M&Sへの攻撃が特に深刻だったのは、オンラインショッピングが同社の売上の約3分の1を占めているためです。デジタルトランスフォーメーションが進む小売業界において、オンラインチャネルの停止は直接的な売上損失につながります。
特筆すべきは、Scattered Spiderが主に若い英語話者のハッカーで構成されているという点です。多くのサイバー犯罪グループがロシアなど法執行が緩い国々を拠点としているのに対し、Scattered Spiderはその点で異色の存在と言えます。
英国の国家サイバーセキュリティセンター(NCSC)のリチャード・ホーンCEOは、これらの事件を「すべての組織にとっての警鐘」と位置づけています。NCSCは被害を受けた3社すべてに対して支援を提供していますが、これは攻撃の深刻さを物語っています。
今回の一連の攻撃は、デジタル依存度が高まる企業にとって、サイバーセキュリティへの投資がもはや選択肢ではなく必須であることを示しています。特に、顧客データや決済情報を扱う小売業界は、サイバー犯罪者にとって魅力的な標的となっています。
企業は多層防御戦略を採用し、定期的なバックアップ、セキュリティパッチの適用、従業員教育の強化などの対策を講じる必要があります。また、インシデント対応計画を事前に策定し、攻撃を受けた際の被害を最小限に抑える準備をしておくことも重要です。
今後も同様の攻撃が世界中で増加すると予想されます。日本の企業も他人事ではなく、特に国際的なビジネスを展開する企業は警戒を強める必要があるでしょう。サイバーセキュリティは単なるIT部門の問題ではなく、経営戦略の重要な一部として位置づけるべき時代が到来しています。
【用語解説】
ランサムウェア(Ransomware):
デジタル「人質」を取るマルウェアの一種。被害者のファイルを暗号化し、「身代金」を支払わない限り復号キーを提供しない。「ransom(身代金)」と「software(ソフトウェア)」を組み合わせた言葉である。
ランサムウェア・アズ・ア・サービス(RaaS):
サブスクリプションモデルで提供されるランサムウェア。技術的知識がなくても攻撃を実行できるようにするビジネスモデル。これは一般的なSaaS(Software as a Service)の悪意ある応用版と考えられる。
Scattered Spider(別名:Octo Tempest、UNC3944):
主に若い英語話者で構成される分散型サイバー犯罪集団。組織構造が緩やかで、メンバーの出入りが頻繁なため、完全に活動を停止させることが難しい。これまでに100以上の標的型攻撃を実行している。
DragonForce:
2023年末に登場したランサムウェアグループ。他のサイバー犯罪者に自社のマルウェアをレンタルするRaaSモデルを採用している。
NTDS.ditファイル:
Windowsドメインコントローラーに保存されているデータベースファイル。ユーザーアカウント情報やパスワードハッシュなどの重要な認証データが含まれる。
国家サイバーセキュリティセンター(NCSC):
英国のサイバーセキュリティ技術機関。2016年に設立され、GCHQ(英国政府通信本部)の一部として機能している。
【参考リンク】
Marks & Spencer(M&S)(外部)
英国の大手小売チェーン。衣料品、家庭用品、食品などを販売している。
Co-opグループ(外部)
英国の協同組合。スーパーマーケット、葬儀サービス、保険事業などを展開している。
Harrods(外部)
ロンドン・ナイツブリッジにある高級百貨店。世界最大級の百貨店の一つとして知られている。
国家サイバーセキュリティセンター(NCSC)(外部)
英国のサイバーセキュリティ対策を担当する政府機関。サイバー脅威に関する技術的助言と支援を提供している。
【参考動画】
【編集部後記】
サイバー攻撃は遠い外国の話ではなく、日本企業も標的になり得ます。皆さんの組織では、万が一の際の対応計画はありますか?バックアップの頻度や、従業員のセキュリティ意識向上など、今すぐできる対策もあります。「うちは大丈夫」と思っていた英国の大手小売企業も被害に遭いました。この機会に、自社のセキュリティ対策を見直してみてはいかがでしょうか?皆さんのセキュリティ対策について、コメント欄でぜひ共有いただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
