Last Updated on 2025-05-19 08:37 by admin
元NSAアナリストのJon DiMaggioが、サイバー犯罪グループ「Scattered Spider(スキャタード・スパイダー)」による米国大手小売業者へのソーシャルエンジニアリング攻撃の通話を聴取した。DiMaggioは現在Analyst1のチーフセキュリティストラテジストとして勤務している。
Scattered Spiderは、SIMスワッピングや偽ITサポート通話、ランサムウェア攻撃を行うサイバーギャングで、MandiantによってUNC3944またはOcto Tempestとしても追跡されている。
2023年9月には米国のMGMリゾーツとシーザーズ・エンターテインメントを攻撃し、報道によるとシーザーズは身代金を支払ったとされる。
最近では英国の大手小売業者Marks & Spencer(M&S)とCo-opを攻撃し、その後米国の小売業者にも攻撃を拡大している。M&Sへの攻撃ではオンライン注文システムが停止し、顧客データが盗まれた。
一方、Co-opはScattered Spiderがファイルを暗号化する前にシステムをオフラインにする「早期かつ断固とした行動」を取り、被害を最小限に抑えることに成功した。Co-opは2025年5月18日時点で回復段階にあり、システムを徐々にオンラインに戻している。
Scattered Spiderの特徴は、英語を話すハッカーで構成され、社会工学的手法に長けていることだ。DiMaggioによれば、彼らは標的企業の従業員に関する詳細な情報(従業員ID、勤務開始日、勤務地、居住地など)を入手し、非常に説得力のある偽装を行う。
MandiantのCTO Charles Carmakalは、このグループについて「リソースに富み、賢く、素早い」と評し、彼らが「防御が難しいスピードで活動している」と述べている。
References:
Ex-NSA bad-guy hunter listened to Scattered Spider’s fake help-desk calls: ‘Those guys are good’
【編集部解説】
innovaTopia読者の皆様、今回取り上げるScattered Spider(スキャタード・スパイダー)は、サイバーセキュリティ業界で最も警戒されている犯罪グループの一つです。元NSAアナリストが「あいつらは本当に上手い」と評したように、彼らの手法は洗練されており、大企業のセキュリティシステムさえも突破してきました。
Scattered Spiderは2023年9月にMGMリゾーツとシーザーズ・エンターテインメントへの攻撃で注目を集め、その後も活動を継続しています。最近では英国の大手小売業者Marks & Spencer(M&S)、Co-op、Harrodsを標的にし、さらに米国の小売業者にも攻撃を拡大しています。
特筆すべきは、このグループのメンバー構成です。Scattered Spiderは主に英語を母国語とするハッカーで構成され、これは従来の国家支援型ハッカー集団や、ロシア・東欧圏を拠点とする典型的なランサムウェアグループとは異なるプロファイルです。
彼らの攻撃手法の特徴は、技術的な脆弱性よりも「人間」という脆弱性を突く点にあります。ソーシャルエンジニアリングを駆使し、企業のヘルプデスクを騙して従業員のパスワードをリセットさせ、システムへのアクセスを獲得します。また、SIMスワッピング(被害者の電話番号を乗っ取る手法)や、本物そっくりの偽ログインページの作成なども得意としています。
2025年に入ってからの彼らの戦術には進化が見られます。特に多要素認証(MFA)をバイパスするための「Attacker-in-the-Middle(AiTM)」型のフィッシングページの使用が増加しています。また、検出回避のための手法も高度化しており、フィッシングドメインの高速ローテーションなどが観察されています。
注目すべきは、Scattered Spiderが単独で活動するだけでなく、様々なランサムウェアグループと提携している点です。最近の報道によれば、DragonForceというランサムウェアグループと協力関係にあるとされています。
Scattered Spiderの攻撃は、企業に甚大な被害をもたらします。例えば、M&Sへの攻撃では、オンライン注文システムが停止し、同社によると決済情報やパスワードは含まれないものの、一部の顧客個人データが盗まれました。
一方、Co-opの事例は、早期対応の重要性を示しています。Co-opはScattered Spiderがファイルを暗号化する前にシステムをオフラインにする「早期かつ断固とした行動」を取り、被害を最小限に抑えることに成功しました。
このような攻撃から組織を守るためには、技術的対策だけでなく、人的要素を含めた包括的なセキュリティ対策が必要です。特にヘルプデスクや顧客サポート部門に対する教育・訓練が重要となります。また、多要素認証の導入だけでは不十分であり、フィッシング耐性のある認証方式(FIDO2など)の採用も検討すべきでしょう。
法執行機関も対策を強化しており、Scattered Spiderのメンバーとされる人物の逮捕例も報告されています。しかし、グループの分散型構造により、一部のメンバーが逮捕されても活動を継続できる体制を維持しています。
今後も小売業界を中心に攻撃が続くと予想されています。サイバーセキュリティ専門家は、彼らが一度に一つのセクターに集中する傾向があると指摘しています。
企業はこのような高度な脅威に対して、従来のセキュリティ対策を見直し、特にソーシャルエンジニアリングに対する耐性を強化する必要があるでしょう。また、万が一の侵害に備えて、バックアップ体制の強化やインシデント対応計画の整備も欠かせません。
私たちユーザーも、オンラインサービスを利用する際には常に警戒を怠らず、不審なメールやメッセージには反応しないよう心がけましょう。サイバーセキュリティは、技術と人間の両面からの対策が必要な時代になっています。
【用語解説】
Scattered Spider(スキャタード・スパイダー):
サイバー犯罪グループ。MandiantによってUNC3944、Octo Tempestとしても追跡されている。ソーシャルエンジニアリングを得意とし、企業のヘルプデスクを騙してシステムアクセスを獲得する手法を用いる。
ソーシャルエンジニアリング:
技術的な手段ではなく、人間の心理的な隙を突いて情報を入手する手法。例えば、企業の従業員になりすまして電話をかけ、パスワードリセットを依頼するなど。日本語では「社会工学的手法」とも呼ばれる。
SIMスワッピング:
被害者の電話番号を乗っ取る手法。携帯電話会社のカスタマーサービスを騙して、被害者の電話番号を攻撃者のSIMカードに移し替えさせる。これにより、SMSベースの二要素認証をバイパスできる。
多要素認証(MFA)疲労攻撃:
ユーザーに大量の認証リクエストを送信し、うんざりさせて承認させる手法。
Ransomware-as-a-Service(RaaS):
ランサムウェアをサービスとして提供するビジネスモデル。開発者がランサムウェアを作成し、アフィリエイト(提携者)がそれを使って攻撃を実行。身代金が支払われると、開発者とアフィリエイトで分配する。
Mandiant(マンディアント):
2004年に設立されたアメリカのサイバーセキュリティ企業。2022年にGoogleに買収され、現在はGoogle Cloudの一部門として運営されている。高度なサイバー脅威の調査・対応に特化している。
Analyst1:
Jon DiMaggioが勤務するサイバー脅威インテリジェンス企業。サイバー犯罪グループの行動分析や脅威情報の提供を行っている。
Co-op(コープ):
英語の協同組合「co-operative」の略。英国を拠点とする生活協同組合で、食品小売りを中心に事業を展開している。消費者が出資・運営・利用する形態をとる。
Marks & Spencer(マークス&スペンサー):
1894年に創業した英国の小売業者。衣料品・食品・家庭用品などを販売し、英国内に300店舗以上を展開している。
【参考リンク】
Mandiant(外部)
Googleが所有するサイバーセキュリティ企業。脅威インテリジェンスと専門知識を提供し、組織のサイバーセキュリティ体制強化を支援している。
Co-operatives UK(外部)
英国の協同組合運動の声として、専門知識と専門性で協同組合企業を支援している。
Marks & Spencer(外部)
英国を代表する小売業者。衣料品、食品、家庭用品などのプライベートブランド商品を提供している。
CISA – Scattered Spider(外部)
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁による公式アドバイザリー。
【参考動画】
【編集部後記】
皆さんの会社では、ヘルプデスクへの不審な問い合わせに対する対策はどのようになっていますか?Scattered Spiderのような巧妙な攻撃者は、私たち一人ひとりの「親切心」や「効率性」を突いてきます。「ちょっと急いでいるから」と言われて、通常の確認手順をスキップしてしまったことはありませんか?セキュリティは技術だけでなく、人間の行動にも大きく依存しています。日常の小さな判断が、組織を守る最後の砦になるかもしれません。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
