航空業界は、洗練されたサイバー犯罪グループであるScattered Spiderの最新の標的となったようです。同グループは小売業や保険会社から航空会社へと焦点を移し、サイバーセキュリティ専門家が「業界を狙った組織的なキャンペーン」と評する動きを見せています。
ハワイアン航空は金曜日に一部ITシステムへのサイバーセキュリティインシデントを公表し、フライトは安全かつ予定通り運航を継続していると発表しました。SECへの提出書類によれば、この攻撃は6月23日に最初に検知され、同社は調査と復旧のために連邦当局やサイバーセキュリティ専門家を招集しました。
複数のインシデント対応者が、ハワイアン航空への攻撃はScattered Spider(別名Muddled LibraまたはUNC3944)によるものとしています。この評価は、サイバーセキュリティ企業Unit 42およびMandiantが同グループの航空業界への標的転換について警告を発したことを受けてのものです。
Google Cloud傘下Mandiant Consultingの最高技術責任者チャールズ・カーマカル氏は、「航空・運輸業界でUNC3944またはScattered Spiderの手口と類似する複数の事案を把握している」と認めました。同グループは、特定の業界に集中的に攻撃を仕掛けた後、新たな分野へと移行する傾向を示しています。
「この攻撃者が特定の業界に集中する傾向を踏まえ、業界として直ちにシステム強化の対策を講じるべきです」とカーマカル氏は述べました。
FBIは金曜日にX上で声明を発表し、「航空業界および関連パートナーと連携し、この活動への対応および被害者支援に積極的に取り組んでいる」と述べました。
またFBIは、Scattered Spiderが「大企業およびそのサードパーティITプロバイダーを標的としているため、信頼されたベンダーや契約業者を含む航空業界のあらゆる関係者がリスクにさらされる可能性がある」と警告しています。
ハワイアン航空のインシデントは、今月初めにカナダ第2位の航空会社ウェストジェットが受けた類似の攻撃に続くものです。カルガリー拠点の同社は、ウェブサイトやモバイルアプリの断続的な障害に見舞われましたが、5日後にはほぼ復旧しました。
サイバーセキュリティ専門家によれば、Scattered Spiderは異なる業界を標的とする際も一貫した手口を維持しています。同グループは通常、巧妙なソーシャルエンジニアリング攻撃を用い、不正なリセット要求を通じて多要素認証システムを狙います。
Palo Alto NetworksのUnit 42でコンサルティングおよび脅威インテリジェンス担当シニアバイスプレジデントのサム・ルービン氏は、組織は「高度で標的型のソーシャルエンジニアリング攻撃や不審なMFAリセット要求に対して高い警戒を維持すべきだ」と強調しています。
同グループが特定業界を狙う組織的な手法は、これまでにも大手小売チェーンや保険会社、Aflacへの攻撃や他の著名な保険会社への攻撃などで確認されています。
複数の航空会社にまたがるこれらの攻撃の組織的な性質は、Scattered Spiderが重要インフラ分野へと戦略的にシフトしていることを示唆しています。
米国サイバーセキュリティ・インフラセキュリティ庁は、これらのインシデントについてまだコメントを発表していません。
更新:6月27日 午後8時48分: 本記事はFBIのコメントを反映するために更新されました。
翻訳元: https://cyberscoop.com/scattered-spider-aviation-hawaiian-airlines-cyberattack/