Last Updated on 2025-05-23 21:58 by admin
2024年の法執行機関による逮捕劇にもかかわらず、サイバー犯罪グループ「Scattered Spider」(別名UNC3944、Octo Tempest)が2025年に再び活発化し、ロシアのランサムウェアエコシステムとの関係を深めている。
グループの基本情報
Scattered Spiderは2022年に初出現し、主に25歳未満の英語ネイティブスピーカーで構成されている。2023年にラスベガスのMGMリゾーツとシーザーズエンターテインメントへの攻撃で悪名を馳せた。
2025年の主要攻撃事例
最近、英国の大手小売業者3社(マークス・アンド・スペンサー、ハロッズ、コープグループ)への攻撃が発生。DragonForceが犯行声明を出したが、セキュリティ研究者はScattered Spiderのメンバーが初期段階の侵入に関与していたと分析している。
技術的進化
Scattered Spiderは従来のVidarやRaccoonなどの既製マルウェアから、DragonForce RaaSが提供するカスタマイズ可能なホワイトラベルランサムウェアキットに移行している。これにより「トリプルA」レベルのツールと戦術を獲得し、より危険な存在となった。
ロシアとの関係
ALPHV/BlackCatやDragonForceなど、従来ロシア語話者のみと協力していたランサムウェア・アズ・ア・サービス(RaaS)グループとの提携が確認されている。Check Point SoftwareのAdi Bleih研究員は、この協力関係について3つの可能性を指摘:単純なアフィリエイトパートナーシップ、共有運用インフラ、多言語仲介者を含むグループ間の境界の曖昧化。
組織構造の謎
「The Com」と呼ばれる大きな集団の一部で、主に13-25歳の若者で構成されているが、30-40代の年上の指揮者が存在するとの情報もある。2024年にTyler Buchananを含む容疑者が逮捕されたが、活動は継続している。
攻撃手法
SIMスワッピング
フィッシング・ビッシング攻撃(ITヘルプデスクスタッフを装う)
MFA爆撃
攻撃者中間者フィッシング
動的DNSプロバイダーを使用した人気ブランドのスプーフィングドメイン生成
記事は2025年5月23日にDark ReadingのRob Wright氏によって報告された。
References:
Blurring Lines Between Scattered Spider & Russian Cybercrime
【編集部解説】
今回のScattered Spiderに関する報道は、サイバーセキュリティ業界において極めて重要な転換点を示しています。原文記事の事実関係を詳細に検証した結果、内容の正確性が確認できました。
サイバー犯罪の世代交代が進行中
最も注目すべきは、従来の「ロシア語圏中心」というサイバー犯罪の常識が覆されている点です。Scattered Spiderは25歳未満の英語ネイティブスピーカーが中心となっており、これまでの東欧系サイバー犯罪組織とは根本的に異なる特徴を持っています。
この世代交代は単なる人員の変化ではありません。デジタルネイティブ世代が持つ直感的なソーシャルエンジニアリング能力と、既存のランサムウェア・アズ・ア・サービス(RaaS)インフラが融合することで、従来よりも巧妙で検出困難な攻撃が可能になっています。
技術的進化の深刻な意味
記事で言及されている「トリプルA」レベルのツールへの移行は、サイバー犯罪の産業化が新たな段階に入ったことを示しています。DragonForceのようなRaaSプラットフォームが提供するホワイトラベルランサムウェアキットにより、技術的な専門知識が限られた若い犯罪者でも、企業レベルのサイバー攻撃を実行できるようになりました。
これは、サイバー犯罪における「参入障壁の劇的な低下」を意味します。従来は高度な技術スキルが必要だった分野に、ソーシャルエンジニアリングに長けた若者が容易に参入できる環境が整ったのです。
地政学的な複雑性
特に興味深いのは、英語圏の若者とロシア系ランサムウェア組織の協力関係です。ALPHV/BlackCatが「ロシア語話者のみと協力する」と宣言していたにも関わらず、Scattered Spiderとの提携を実現させた背景には、従来の地政学的境界を超えた新しいサイバー犯罪エコシステムの形成があります。
この現象は、サイバー空間における国境の意味が根本的に変化していることを示唆しています。物理的な国境や言語の壁よりも、技術的能力と収益性が優先される世界が構築されつつあるのです。
法執行機関の限界と新たな課題
2024年の逮捕劇が期待された効果を上げていない現実は、従来の法執行手法の限界を浮き彫りにしています。Tyler Buchananを含む容疑者の逮捕にも関わらず、グループの活動が継続している事実は、分散型組織の強靭性を物語っています。
「The Com」という大きな集団の存在は、単一のリーダーシップに依存しない新しい犯罪組織モデルの出現を示しています。これは法執行機関にとって、従来の「首謀者逮捕による組織壊滅」戦略が通用しない新たな挑戦となっています。
企業防御戦略への影響
この事案が企業のサイバーセキュリティ戦略に与える影響は甚大です。従来の技術的防御に加えて、人的要素への対策が急務となりました。MFA爆撃やSIMスワッピングといった手法は、技術的な脆弱性よりも人間の心理的弱点を突くため、従来のセキュリティソリューションでは対応が困難です。
特に注目すべきは、OktaやMicrosoft Entraといったアイデンティティプラットフォームが標的となっている点です。これらのプラットフォームは多くの企業でシングルサインオン(SSO)の中核を担っており、ここが突破されると企業全体のシステムが危険にさらされます。
長期的な展望と規制への影響
この事案は、サイバーセキュリティ規制の在り方にも大きな影響を与える可能性があります。従来の技術的基準に加えて、ソーシャルエンジニアリング対策や従業員教育の義務化が検討される可能性が高まっています。
また、国際的な法執行協力の枠組みも見直しが必要となるでしょう。英語圏の若者とロシア系組織の協力という新しいパターンに対応するため、従来の二国間協定を超えた多国間での連携強化が求められています。
技術革新への示唆
一方で、この事案は防御技術の革新も促進しています。WebAuthnやPKI基盤を活用したフィッシング耐性MFAの普及が加速し、ゼロトラストアーキテクチャの重要性がより明確になりました。
AIを活用した異常検知システムや、リアルタイムでの脅威インテリジェンス共有プラットフォームの開発も活発化しており、攻撃者と防御者の技術競争が新たな段階に入っています。
【用語解説】
Scattered Spider(スキャッタード・スパイダー)
25歳未満の英語ネイティブスピーカーで構成されるサイバー犯罪グループ。「散らばったクモ」という名前の通り、組織が分散的で捕まえにくい特徴を持つ。
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを「サービス」として提供するビジネスモデル。フランチャイズのように、技術を持つ組織が攻撃ツールを提供し、実行者(アフィリエイト)が攻撃を行って収益を分配する仕組み。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理的な隙を突く攻撃手法。ITヘルプデスクを装って電話をかけ、パスワードを聞き出すなどの手口。
SIMスワッピング
携帯電話会社に成りすまして、被害者の電話番号を攻撃者のSIMカードに移す手法。これにより二段階認証を突破できる。
MFA爆撃(MFA Bombing)
多要素認証の承認通知を大量に送りつけ、被害者が誤って承認ボタンを押すまで続ける攻撃手法。
The Com(ザ・コム)
Scattered Spiderが所属するより大きなハッカー集団。主に13-25歳の若者で構成されている。
【参考リンク】
Check Point Software Technologies(外部)
イスラエルを拠点とするサイバーセキュリティ企業。記事中のCyberintレポートを発表した。
Silent Push(外部)
脅威インテリジェンスとネットワークセキュリティを専門とする企業。研究者のZach Edwards氏が所属。
Push Security(外部)
人的要素に焦点を当てたサイバーセキュリティソリューションを提供する企業。
MGM Resorts International(外部)
ラスベガスを拠点とする大手カジノ・ホテル運営会社。2023年にScattered Spiderの攻撃を受けた。
【参考動画】
【編集部後記】
今回のScattered Spiderの事案を通じて、サイバーセキュリティの世界が急速に変化していることを実感いただけたでしょうか。特に注目したいのは、従来の「ロシア語圏中心」という常識が覆され、英語ネイティブの若者たちが主役となっている点です。
みなさんの組織では、MFA爆撃やSIMスワッピングといった新しい攻撃手法への対策は十分でしょうか。また、従業員教育においてソーシャルエンジニアリング対策はどの程度重視されているでしょうか。
この事案から見えてくる「サイバー犯罪の世代交代」について、ぜひみなさんのご意見もお聞かせください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
