米連邦捜査局(FBI)は、悪名高いサイバー犯罪グループScattered Spiderが航空業界を標的に攻撃範囲を拡大していることを明らかにしました。
このため、FBIは航空業界および関連業界のパートナーと積極的に連携し、この活動への対処や被害者支援を行っていると述べています。
「これらの攻撃者はソーシャルエンジニアリング技術に依存しており、しばしば従業員や契約者になりすましてITヘルプデスクを騙し、アクセス権を得ています」とFBIはXへの投稿で述べています。「これらの手法には、ヘルプデスクサービスを騙して不正なMFAデバイスを侵害アカウントに追加させるなど、多要素認証(MFA)を回避する方法が頻繁に含まれています。」
Scattered Spiderの攻撃は、大規模組織へのアクセスを得るためにサードパーティのITプロバイダーを標的にすることでも知られており、信頼されたベンダーや契約者も潜在的な攻撃のリスクにさらされています。これらの攻撃は通常、データ窃取、恐喝、ランサムウェアの道を開きます。
LinkedInで発表された声明の中で、Palo Alto Networks Unit 42のSam Rubinは、脅威アクターによる航空業界への攻撃を確認し、組織に対して高度なソーシャルエンジニアリングや不審な多要素認証(MFA)リセット要求に「厳重警戒」を呼びかけました。
Google傘下のMandiantも、最近Scattered Spiderによる米国保険業界への標的化を警告しており、航空および運輸分野でハッカー集団の手口と類似する複数のインシデントを把握していると述べています。
「業界は直ちに、従業員や契約者アカウントに新しい電話番号を追加する前(脅威アクターがセルフサービスのパスワードリセットに利用できるため)、パスワードリセット、MFAデバイスの追加、従業員情報(従業員IDなど)の提供などの前に、ヘルプデスクによる本人確認プロセスを厳格化する措置を取ることを推奨します」とMandiantのCharles Carmakalは述べています。
Scattered Spiderが成功し続けている理由の一つは、人間のワークフローを非常によく理解していることです。MFAのような技術的防御があっても、彼らはシステムの背後にいる人間に焦点を当てています。なぜなら、ヘルプデスクのスタッフも他の誰かと同じように、説得力のある話に不意を突かれることがあるからです。
これは力ずくのハッキングではなく、信頼関係を一時的に築いて侵入する手法です。時間がなく、プレッシャーが高い状況では、偽の従業員からの依頼が通ってしまうのも無理はありません。そのため、組織は従来のエンドポイントセキュリティだけでなく、リアルタイムでの本人確認のあり方を見直す必要があります。
Scattered Spiderとして追跡されている活動は、Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud、UNC3944などの脅威クラスターと重複しています。このグループはもともとSIMスワッピング攻撃で知られており、ソーシャルエンジニアリング、ヘルプデスクフィッシング、内部関係者のアクセスなど、ハイブリッド環境への初期侵入手法を多く持っています。
「Scattered Spiderは、深いソーシャルエンジニアリング、重層的な技術的洗練性、迅速な二重恐喝能力を組み合わせ、ランサムウェアリスクの大きな進化を示しています」とHalcyonは述べています。「わずか数時間で、グループは侵入、永続的なアクセスの確立、機密データの収集、復旧機構の無効化、オンプレミスおよびクラウド環境全体でのランサムウェアの実行が可能です。」
このグループを特に危険にしているのは、忍耐強い計画と突然のエスカレーションを組み合わせている点です。Scattered Spiderは盗んだ認証情報だけに頼らず、標的に関する情報収集に時間をかけ、しばしばソーシャルメディア調査と公開された漏洩データを組み合わせて、驚くほど正確に人物になりすまします。このようなビジネスメール詐欺(BEC)の手法とクラウドインフラ破壊を組み合わせたハイブリッド脅威は、気付かれないまま進行し、手遅れになることもあります。
Scattered SpiderはCom(またはComm)と呼ばれる曖昧な集団の一部であり、LAPSUS$など他のグループも含まれています。少なくとも2021年から活動していると見られています。
「このグループはDiscordやTelegramといったコミュニケーションプラットフォームで発展し、さまざまな背景や興味を持つメンバーを引き入れました」とUnit 42は述べています。「このグループの緩やかで流動的な性質が、撹乱を非常に困難にしています。」
ReliaQuestが金曜日に公開したレポートでは、Scattered Spiderのアクターが先月末、ある無名の組織の最高財務責任者(CFO)を標的に侵入し、その高い権限を悪用して極めて精密かつ計画的な攻撃を行った経緯が詳細に記されています。
脅威アクターは、価値の高い個人を特定するために広範な偵察を実施し、特にCFOになりすまして同社のITヘルプデスクに電話し、アカウントに紐づくMFAデバイスと認証情報のリセットを説得しました。
攻撃者はまた、偵察で得た情報を活用し、CFOの生年月日や社会保障番号(SSN)の下4桁を同社の公開ログインポータルに入力してログインフローを進め、最終的に従業員IDを確認し、収集した情報の正当性を裏付けました。
「Scattered SpiderがC-Suiteアカウントを好む理由は2つあります。これらのアカウントはしばしば過剰な権限を持っており、ITヘルプデスクへのリクエストも緊急性を持って扱われるため、ソーシャルエンジニアリングの成功率が高まるのです」と同社は述べています。「これらのアカウントへのアクセスは、Scattered Spiderに重要なシステムへの道を開き、偵察がカスタマイズされた攻撃計画の要となっています。」
CFOのアカウントへのアクセスを得たScattered Spiderのアクターは、標的環境で以下のような一連の行動を取り、攻撃の適応力と急速なエスカレーション能力を示しました。
- 特権アカウント、特権グループ、サービスプリンシパルのEntra ID列挙を実施し、権限昇格と永続化を図る
- SharePointの探索を行い、機密ファイルや共同作業リソースを特定、組織のワークフローやIT・クラウドアーキテクチャを深く理解し、攻撃を最適化
- CFOの盗まれた認証情報を使ってHorizon Virtual Desktop Infrastructure(VDI)プラットフォームに侵入し、ソーシャルエンジニアリングでさらに2つのアカウントを侵害、機密情報を抽出し、仮想環境に足場を築く
- 組織のVPNインフラを突破し、内部リソースへの途切れないリモートアクセスを確保
- 以前廃止された仮想マシン(VM)を再稼働させ、新たなVMを作成してVMware vCenterインフラにアクセス、仮想化された本番ドメインコントローラをシャットダウンし、NTDS.ditデータベースファイルの内容を抽出
- 高い権限を使ってCyberArkパスワードボールトを突破し、1,400以上のシークレットを入手
- 特権アカウントを使って侵入をさらに進め、管理者権限を侵害ユーザーアカウントに割り当てるなどの操作を実施
- ngrokなどの正規ツールを使い、自分たちの管理下にあるVMへの永続化を設定
- 組織のセキュリティチームに存在を検知された後、「焦土作戦」に切り替え、「隠密より速度」を優先し、意図的にAzure Firewallポリシールールコレクショングループを削除、通常業務を妨害
ReliaQuestはまた、インシデント対応チームと脅威アクターの間でGlobal Administratorロールの制御を巡る綱引きが発生し、最終的にMicrosoft自身が介入してテナントの制御を回復するまで続いたと説明しています。
ここでの大きなポイントは、ソーシャルエンジニアリング攻撃がもはやフィッシングメールだけではなく、攻撃者が詳細な手順書に従ってあらゆる防御層を突破する本格的なアイデンティティ脅威キャンペーンへと進化していることです。SIMスワッピングからビッシング、権限昇格まで、Scattered Spiderは攻撃経路が開けていればどれだけ迅速に動けるかを示しています。
多くの企業にとって、最初のステップは新しいツールを購入することではなく、特にヘルプデスクの承認やアカウント回復など、内部プロセスを厳格化することです。アイデンティティの判断を人に頼るほど、現実的な事例で彼らを訓練することが重要になります。
「Scattered Spiderの初期侵入手法は、多くの組織に共通する重大な弱点、すなわち本人確認を人間中心のワークフローに依存している点を浮き彫りにしています」とセキュリティ研究者のAlexa Feminella氏とJames Xiang氏は述べています。
「信頼を武器化することで、グループは強固な技術的防御を回避し、攻撃者が確立されたプロセスをいかに簡単に操作して目的を達成できるかを示しました。この脆弱性は、企業がID確認プロトコルを再評価・強化し、人為的ミスが攻撃者の侵入口となるリスクを低減する必要性を強調しています。」
翻訳元: https://thehackernews.com/2025/06/fbi-warns-of-scattered-spiders.html