2025年6月17日、GoogleのThreat Intelligence Groupは、サイバー犯罪グループScattered Spider(別名UNC3944)が米国の大手保険会社を標的に攻撃を行っていると発表した。
同グループは過去に英国の小売業者Marks & Spencer、Co-op、Harrodsや米国の小売業を攻撃しており、現在は保険業界に標的を移している。
Philadelphia Insurance Companies(PHLY)は6月9日にネットワーク侵害を発見し、Erie Insuranceは6月7日から業務障害が発生している。
Scattered SpiderはITヘルプデスクへのなりすましや音声フィッシングなどの高度なソーシャルエンジニアリングを用い、認証情報の窃取や多要素認証の回避を行っている。
また、DragonForceランサムウェアグループと連携し、保険業界への攻撃を拡大している。Googleは、認証プロセスの強化やヘルプデスクでの厳格な本人確認、特権アクセスの制限を推奨している。
From:
Google Warns of Scattered Spider Hackers Targeting U.S. Insurance Sector
【編集部解説】
Scattered Spiderによる米国保険業界への攻撃は、2025年6月にGoogleの脅威インテリジェンスチームが公式に警告したことで広く報じられました。
注目すべきは、Scattered Spiderがこれまでの小売・通信業界から保険業界へと標的を明確に移した点です。保険会社は膨大な個人情報や金融データを扱っており、攻撃者にとって「高付加価値」のターゲットとなります。
特に、ヘルプデスクや外部ITサポートなど、人的な脆弱性を突くソーシャルエンジニアリングが主な侵入経路となっている点が特徴です。
今回の事案では、Philadelphia Insurance Companies(PHLY)が6月9日にネットワーク侵害を発見し、システムを切断して攻撃の拡散を防ぐ措置を講じました。同社のウェブサイトは現在も障害通知を表示しており、復旧作業が継続中です。
また、Erie Insuranceも6月7日から業務障害が発生し、SEC(米国証券取引委員会)への報告書で「異常なネットワーク活動」が原因であることを明らかにしています。
技術的な観点では、Scattered Spiderは多要素認証(MFA)すら突破する高度な手口を持ち、DragonForceなど他のランサムウェアグループと連携することで攻撃の規模と複雑さを増しています。これにより、従来の境界型防御や単一のセキュリティ対策だけでは十分に防御できない状況が生まれています。
Googleは具体的な対策として、認証プロセスの強化、ヘルプデスク業務における厳格な本人確認の実施、特権アクセスの制限に加え、従業員に対する継続的なセキュリティ教育の重要性を強調しています。特に、カメラでの本人確認やチャレンジ・レスポンス質問による身元確認、フィッシング耐性のある多要素認証アプリの使用を推奨しています。
規制面では、米国ではサイバーインシデントの報告義務や顧客通知義務が強化されており、今後は保険業界全体に対する監督やガイドラインの見直しも進むと考えられます。また、今回のような大規模攻撃が続くことで、業界横断的な情報共有や共同防御の枠組みが拡大する可能性も高いです。
長期的な視点では、サイバー犯罪グループの手法は今後も進化し続けるため、企業は「技術×人×組織」の三位一体で防御力を高めていく必要があります。今回の事案は、単なる一企業の問題ではなく、デジタル社会全体の信頼性や持続可能性に直結する課題であることを、読者の皆さまにもぜひ認識していただきたいです。
【用語解説】
Scattered Spider(スキャッタード・スパイダー)
2022年頃から活動している英語圏の金銭目的サイバー犯罪グループ。UNC3944、Scatter Swine、Muddled Libra、Octo Tempestなどの別名を持つ。高度なソーシャルエンジニアリング攻撃を得意とし、ITヘルプデスクに電話をかけて従業員になりすまし、認証情報を窃取する手法で知られる。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理的な隙を突いて機密情報を窃取する攻撃手法。電話やメールを使って信頼関係を築き、パスワードや認証情報を聞き出す。
ビッシング(Vishing)
音声(Voice)とフィッシング(phishing)を合わせた造語。攻撃者が電話を通じて標的から資格情報やクレジットカード情報などを引き出し、不正アクセスや金銭窃取を試みる手法。
多要素認証(MFA)
パスワードに加えて、SMSやアプリによる認証コードなど複数の認証要素を組み合わせるセキュリティ手法。しかし、Scattered Spiderは巧妙な心理戦でMFAも突破することが報告されている。
マネージドサービスプロバイダー(MSP)
企業のITインフラやシステムの運用・管理を代行するサービス事業者。攻撃者がMSPを標的にすることで、複数のクライアント企業に一気に被害を広げることができる。
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェア攻撃をサービスとして提供するサイバー犯罪のビジネスモデル。DragonForceもこのモデルを採用し、アフィリエイトに攻撃ツールを提供して身代金の一部を受け取る仕組みを構築している。
【参考リンク】
Google Threat Intelligence(外部)
Googleが提供する包括的な脅威インテリジェンスサービス。Mandiantの専門知識とVirusTotalの脅威データベースを統合
Philadelphia Insurance Companies(PHLY)(外部)
東京海上グループの一員である米国の専門保険会社。60年の歴史を持ち、非営利部門を中心に120のニッチ市場で事業を展開
Erie Insurance Group(外部)
1925年設立の米国の損害保険会社。12州とワシントンD.C.で事業を展開し、600万件以上の保険契約を保有
CrowdStrike – Scattered Spider情報(外部)
サイバーセキュリティ企業CrowdStrikeが提供するScattered Spiderに関する詳細な脅威情報ページ
【参考記事】
Scattered Spider targets insurance firms, Google warns(外部)
The Registerによる詳細報道。Googleの脅威アナリストJohn Hultquistのコメントを含む包括的な分析記事
Google warns Scattered Spider hackers now target US insurance companies(外部)
BleepingComputerによる技術的詳細を含む報道。Philadelphia Insurance CompaniesとErie Insuranceの被害状況を詳しく報告
Threat group linked to UK, US retail attacks now targeting insurance industry(外部)
Cybersecurity Diveによる業界分析記事。Scattered Spiderの過去の攻撃パターンと今回の保険業界標的化の背景を解説
DragonForce Engages in “Turf War” for Ransomware Dominance(外部)
Sophosの研究に基づくDragonForceランサムウェアグループの詳細分析。RaaSモデルでの競合他社との抗争について報告
Mandiant links DragonForce ransomware attacks on UK retailers to UNC3944 tactics(外部)
MandiantによるScattered SpiderとDragonForceの連携に関する詳細分析。英国小売業への攻撃事例を含む包括的な報告
Cyber incidents disrupt operations at two insurers(外部)
Insurance Business Magazineによる保険業界への影響に焦点を当てた報道。Philadelphia InsuranceとErie Insuranceの事案詳細
【編集部後記】
Scattered Spiderによる保険業界への攻撃は、サイバーセキュリティの脅威が業界を問わず拡大していることを示す重要な事例です。特に注目すべきは、技術的な脆弱性よりも「人」を標的とした攻撃手法が主流となっている点です。
今回の事案は技術だけでは解決できない課題があることを教えてくれます。最新のセキュリティ技術を導入しても、従業員一人ひとりがサイバー攻撃の手口を理解し、適切に対応できなければ、組織全体が危険にさらされる可能性があります。
また、今回の攻撃は「セクター別集中攻撃」という新たなパターンを示しており、特定の業界が短期間で集中的に狙われる傾向が強まっています。
これは、攻撃者が業界特有の脆弱性や慣行を研究し、効率的に攻撃を展開していることを意味します。
技術的な対策に加えて、従業員教育やインシデント対応体制の整備、業界内での情報共有など、包括的なセキュリティ戦略の構築が急務となっています。
特に、ヘルプデスクや顧客サポート部門のスタッフに対する継続的な教育と訓練は、今後ますます重要になるでしょう。
