Last Updated on 2025-05-16 11:01 by admin
DragonForceと呼ばれるランサムウェア・アズ・ア・サービス(RaaS)グループが、2025年4月下旬から5月にかけて英国の大手小売業者を標的とした一連のサイバー攻撃を実行した。
攻撃の被害状況
Marks & Spencer(M&S):4月のイースター週末に攻撃が始まり、オンライン注文、クリック&コレクトサービス、非接触型決済システムが停止した。5月13日時点で、オンライン注文は依然として再開されておらず、顧客データ(氏名、生年月日、電話番号、住所など)が盗まれたことを同社は認めている。攻撃から3週間経過しても完全復旧には至っていない。
Co-op:M&Sへの攻撃直後に被害を受け、「現在および過去の会員」の個人情報(氏名、連絡先情報など)が流出した。当初は「顧客データの侵害の証拠はない」と発表していたが、後に情報流出を認めた。DragonForceは約10,000人のCo-op会員のデータサンプルをBBCに提供し、2000万人の会員データを盗んだと主張している。
Harrods:5月1日に攻撃を受けたことを公表したが、同社のITセキュリティチームが迅速に対応し、予防措置として全施設でインターネットアクセスを制限した。店舗やオンラインショッピングは通常通り運営されており、大きな混乱は報告されていない。
攻撃の手法
攻撃者はIT部門のヘルプデスク担当者を騙し、企業システムへのアクセス権を獲得する「SIMスワッピング」と呼ばれる手法を使用した。従業員を装い、パスワードリセットを要求することでシステムに侵入したとされる。侵入後、DragonForceランサムウェアを展開し、データを暗号化して身代金を要求する二重恐喝戦略を採用した。
DragonForceについて
DragonForceは2023年8月に活動を開始したランサムウェアグループで、当初は親パレスチナのハクティビスト的活動を行っていたが、後に利益目的の活動に移行した。2024年には最も活発なランサムウェア発信源の一つとしてFBIに認定され、2025年5月時点で158の被害者をリストアップしている。
2025年3月、DragonForceは協力者が独自のブランドを作成できる「カルテル」として再ブランド化し、他の犯罪者がDragonForceのインフラとツールを使用してあらゆるランサムウェアを展開できるサービスを提供している。
攻撃の実行者
今回の攻撃は、「Scattered Spider」(別名「Roasting 0ktapus」「Scatter Swine」)と呼ばれる緩やかに組織化されたハッカーグループのメンバーがDragonForceの協力者として実行した可能性が高いとされている。Scattered Spiderは主に英語を話す若いメンバー(一部は10代)で構成され、Telegramや Discordチャンネルを通じて活動している。
金銭的影響
M&Sの株価は攻撃発覚後の最初の取引日に2.2%下落した(その後、2025年5月2日までに累計で6.5%下落)、市場価値は7億ポンド(約9億3000万ドル)以上減少した。Bank of Americaの分析によると、M&Sの損失は週あたり約4300万ポンド(約5700万ドル)に達する可能性があるとされている。オンラインショッピングはM&Sの衣料品・家庭用品売上の約3分の1を占め、1日あたり約380万ポンド(約505万ドル)の収益をもたらしていた。
References:
Here’s what we know about the DragonForce ransomware that hit Marks & Spencer
【編集部解説】
DragonForceランサムウェアによる英国小売業界への攻撃は、サイバーセキュリティの世界で新たな転換点を示しています。この事案は単なる一企業へのサイバー攻撃にとどまらず、ランサムウェア・アズ・ア・サービス(RaaS)モデルの進化と、サイバー犯罪の「カルテル化」という新たな潮流を象徴しています。
まず注目すべきは、DragonForceの「カルテル」としての再定義です。2025年3月、DragonForceは単なるランサムウェアグループから脱却し、他の犯罪者が独自のブランドを構築できる「カルテル」へと進化しました。このビジネスモデルは、サイバー犯罪の世界でも革新的で、従来のRaaSよりも低い手数料で、インフラやツールを提供しています。これにより、技術的な障壁が下がり、より多くの犯罪者がランサムウェア攻撃を実行できるようになりました。
今回の英国小売業界への攻撃は、このカルテルモデルの実例と言えるでしょう。特に注目すべきは、攻撃の実行者とされる「Scattered Spider」(別名「Roasting 0ktapus」「Scatter Swine」)というハッカー集団です。彼らはDragonForceのインフラを利用して攻撃を行ったとされています。Scattered Spiderは主に英語を話す若いメンバーで構成され、ソーシャルエンジニアリングに長けていることが特徴です。
攻撃手法としては、主にIT部門のヘルプデスクを標的にした「SIMスワッピング」と呼ばれる手法が使われました。これは従業員を装ってパスワードリセットを要求し、システムへのアクセス権を獲得するという、技術的というよりも人間の心理を突いた方法です。このような社会工学的手法は、どれだけ技術的なセキュリティ対策を強化しても完全に防ぐことが難しく、企業にとって大きな課題となっています。
また、DragonForceの「二重恐喝」戦略も注目に値します。彼らはデータを暗号化するだけでなく、事前に機密情報を盗み出し、身代金が支払われなければそのデータを公開すると脅します。この戦略により、バックアップからの復旧だけでは解決できない状況を作り出しています。実際、Co-opの事例では約10,000人の会員データのサンプルがBBCに提供され、身代金要求の圧力を高めています。
DragonForceの起源については諸説あり、マレーシアを拠点とする親パレスチナのハクティビストグループ「DragonForce Malaysia」との関連が指摘されていますが、決定的な証拠はありません。また、ロシアとの関連も疑われていますが、これも確定していません。興味深いのは、DragonForceが旧ソビエト諸国への攻撃を禁止していることで、これはロシアを拠点とするランサムウェアグループに共通する特徴です。
今回の攻撃が特に注目される理由の一つは、その経済的影響の大きさです。M&Sの場合、攻撃後の最初の取引日だけで株価が6.5%下落し、市場価値は7億ポンド以上減少しました。Bank of Americaの分析によると、M&Sの損失は週あたり約4300万ポンドに達する可能性があるとされています。これは単なるIT障害ではなく、企業の存続を脅かす重大な経営リスクとなっています。
また、DragonForceが病院など特定のターゲットへの攻撃を禁止していることも興味深い点です。彼らは「重篤な患者、子供、高齢者」がいる病院への攻撃を禁じており、これに違反した協力者を「処罰する」と警告しています。しかし、この「道徳的コード」が実際に守られているかどうかは疑問です。
Co-opとM&Sの対応の違いも注目に値します。BBCの報道によると、Co-opはハッカーの侵入を早期に検知し、システムをオフラインにする決断を迅速に下しました。これにより、ランサムウェアの完全な展開を防ぎ、M&Sよりも早い復旧が可能になったとされています。この対応の違いは、サイバー攻撃に対する初動の重要性を示しています。
今後の展望としては、DragonForceのようなカルテルモデルがさらに普及し、サイバー犯罪の「ギグエコノミー化」が進む可能性があります。これにより、技術的な知識がなくても、サービスとしてのサイバー犯罪ツールを利用できるようになり、攻撃の数と種類が増加することが予想されます。
企業にとっては、技術的な防御だけでなく、従業員教育や内部プロセスの見直しが重要になるでしょう。特にソーシャルエンジニアリングに対する意識向上が急務です。また、データのバックアップだけでなく、機密情報の流出を前提とした危機管理計画も必要になります。
最後に、このような攻撃に対する国際的な法執行機関の対応も注目されます。2024年には「Scattered Spider」のメンバーとされる容疑者が複数逮捕されましたが、その後も攻撃は続いています。サイバー犯罪の国境を越えた性質は、法執行機関にとって大きな課題となっています。
DragonForceの事例は、サイバーセキュリティが単なるIT部門の問題ではなく、経営戦略の中核に位置づけられるべき重要課題であることを改めて示しています。今後も同様の攻撃が増加する可能性が高く、企業はより包括的なセキュリティ戦略を構築する必要があるでしょう。
【用語解説】
ランサムウェア・アズ・ア・サービス(RaaS):
従来のソフトウェアサービスのように、ランサムウェアを開発する犯罪者が、技術的知識のない他の犯罪者(アフィリエイト)に対して、ランサムウェアツールやインフラを提供するビジネスモデル。アフィリエイトは攻撃を実行し、得られた身代金の一部(通常20%程度)をRaaS提供者に支払う。
SIMスワップ:
攻撃者が被害者になりすまして携帯電話会社に連絡し、SIMカードを再発行させることで、被害者の電話番号を乗っ取る手法。SMSによる二段階認証を突破するために使われる。
二重恐喝(Double Extortion):
ランサムウェア攻撃において、データを暗号化するだけでなく、事前にデータを盗み出し、身代金が支払われなければそのデータを公開すると脅す戦術。
Scattered Spider:
主に英語圏の若いメンバー(10代~20代前半)で構成されるハッカーグループ。ソーシャルエンジニアリングに長け、2023年にはMGMやCaesarsカジノへの攻撃で知られる。Octo Tempest、UNC3944、Roasting 0ktapus、Scatter Swineなどの別名も持つ。
カルテル:
DragonForceが自称する新しい組織形態。従来のRaaSよりも柔軟性が高く、アフィリエイトが独自のブランドでランサムウェアを展開できるインフラを提供する。
【参考リンク】
Marks & Spencer(マークス&スペンサー)(外部)
1884年創業の英国を代表する小売企業。衣料品、食品、家庭用品などを販売する300以上の店舗を英国内に展開している。
Co-op(コープ)(外部)
英国の消費者協同組合グループ。食品小売、保険、法律サービス、葬儀サービスなど多岐にわたる事業を展開している。
Harrods(ハロッズ)(外部)
1834年創業の英国を代表する高級百貨店。ロンドンのナイツブリッジに位置し、世界中の富裕層に人気がある。
Group-IB(外部)
サイバーセキュリティ企業。DragonForceランサムウェアグループの活動を追跡し、詳細な分析レポートを公開している。
Sophos(外部)
英国のセキュリティソフトウェア・ハードウェア企業。DragonForceの活動に関する調査レポートを発表している。
CrowdStrike(外部)
米国のサイバーセキュリティ技術企業。M&Sの依頼でDragonForce攻撃の調査を行った。
【参考動画】
【編集部後記】
皆さんの組織では、サイバーセキュリティ対策は十分でしょうか?DragonForceのような新世代のランサムウェアは、従来の防御策をすり抜ける巧妙さを持っています。特に注目すべきは、今回のCo-opとM&Sの対応の違いです。Co-opは早期検知と迅速な対応で被害を最小限に抑えましたが、M&Sは3週間経っても完全復旧できていません。技術的な対策だけでなく、従業員のセキュリティ意識向上や、侵入を前提とした迅速な対応計画が重要になっています。あなたの組織は、明日同じ攻撃を受けても、Co-opのように対応できますか?
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
