Scattered Spiderの「引退」宣言：本当の撤退か、巧妙なカモフラージュか？

悪名高いScattered Spider集団を中心とした約15のランサムウェアおよびサイバー犯罪グループが、サイバーセキュリティ専門家が巧妙な偽装とみなす劇的な別れの手紙で引退を発表しました。

「親愛なる世界へ」と題されたこの異例の声明は、BreachForumsに投稿され、国際的な逮捕を受けて「闇に消える」と主張しましたが、そのタイミングや内容、動機には真偽を問う深刻な疑問が投げかけられました。

この手紙は、Jaguar Land Roverへの最近の攻撃を含む一連の壊滅的なサイバー攻撃の後に現れました。この攻撃により、世界規模の製造が1週間以上停止し、数億ドル規模の損失が発生しました。

一見すると、この手紙は本物のように見えました。しかし、サイバーセキュリティ専門家は表面的な認証だけでは納得していません。

インド・マハラシュトラ州政府の警察追加総監でサイバーセキュリティ専門家のBrijesh Singh氏は、この手紙が一見本物であることを認めつつ、その真の目的には深い懐疑心を示しました。

「この手紙は認証済みのBreachForumsアカウントから発信され、すぐにギャングのTelegramチャンネルにも転載されたため、本物のように見えました」と彼は述べました。

しかしSingh氏は、より計画的な意図を示唆するいくつかの警告サインを指摘しました。「それにもかかわらず、手紙の凝った文体、投稿後2日間に明らかな資金移動活動がなかったこと、他のランサムウェアグループが偽の引退を演出した過去などから、これは犯罪活動の本当の終焉ではなく、マーケティングの一環だと考えられます。」

この手紙は、前例のない数のサイバー犯罪グループを代表していると主張し、複数組織による協調的な引退を訴えていました。

「我々LAPSUS$、Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari、その他多数は、闇に消えることを決断しました」とグループは公開書簡で記しました。

この同盟の主張は、専門家にとってすぐに疑わしいものと映りました。

Beagle SecurityのアドバイザーであるSunil Varkey氏は、このストーリーの根本的な問題点を指摘しました。

「いわゆるこの集団は2025年8月にTelegram上で初めて公に結成されたばかりで、わずか1か月後に『引退』するのは非常に疑わしい」と彼は説明しました。時系列だけでも疑問ですが、Varkey氏はさらに根本的な問題を指摘します。「彼らの間にはこれまで共通点や提携、共同活動の記録が一切ありませんでした。」

この手紙は、突発的な決断ではなく、圧力による撤退という物語とは矛盾する、意図的な調整と計画性を示していました。

「我々の沈黙とメッセージの曖昧さについてお詫びします」と手紙は述べ、発表前の72時間の通信遮断に言及しました。「この72時間の沈黙は、家族や親族と話し合い、非常時対応計画と意図の有効性を確認するために重要な時間でした。」

法執行機関の圧力：現実だが影響は限定的

手紙は、決断の背景にあるとされる国際的な圧力の高まりを明確に認めていました。

「2024年4月以降、Scattered SpiderおよびShinyHuntersグループに関連して、これらのキャンペーンに関与した8人が家宅捜索や逮捕され、特にフランスで現在拘留中の4人に思いを馳せます」と手紙は述べています。

これらの逮捕は確かに法執行機関の成果でしたが、Singh氏はその実際の影響について重要な背景を説明しました。「2024年4月以降、FBI、英国NCA、フランスDGSI、スペイン国家警察がこのシンジケートに関連する8人を逮捕しました」とSingh氏は認めました。

しかし、逮捕は本来の抑止効果を達成していませんでした。「これらの逮捕の多くは、現金引き出し役やSIMスワッパー、チャット管理者など、下位または中位メンバーが中心で、主要な開発者やマネーロンダラー、上層部は依然として逃亡中です。したがって、法執行機関はギャングの公的イメージには打撃を与えましたが、活動自体は止められませんでした」とSingh氏は述べました。

空虚な約束と懸念される告白

手紙の内容は、その不誠実さを最も強く示す証拠を、提供しなかったことによって明らかにしました。被害者への謝罪はあったものの、グループは意味のある支援や救済を明確に拒否しました。

「我々は今後、直接的にも間接的にも、誰かの無実を証明する手助けはしません」と手紙は率直に述べています。進行中の捜査や過去の被害者への支援を拒否するこの姿勢は、真の改革や責任追及とは矛盾します。

Varkey氏はこれらの要素が手紙の信憑性を特に損なうと指摘しました。「被害者への謝罪は口頭のみで、実質的な救済措置はなく、過去の事件への協力も明確に拒否し、盗まれたデータやランサムウェア、インフラやC2Cの撤去についても一切言及がありませんでした」と彼は説明しました。

悔い改めるどころか、手紙は最近の注目度の高い攻撃を自慢していました。「我々がFBIやMandiant、その他数名をJaguar工場の麻痺で引き付けている間に、（表面的に）Googleを4回ハッキングし、SalesforceやCrowdStrikeの防御を突破し、最終的な非常時対応計画を発動していました」とグループは記しました。

専門家の見解：戦術的な欺瞞

両専門家は、この発表は本当の引退ではなく、戦略的な陽動だと指摘しました。「これは煙幕戦術、つまり法執行機関の圧力を回避し、内部問題を解決し、リブランディングを促進するための欺瞞的な動きに見えました」とVarkey氏は述べました。

Singh氏は、より広範な偽情報キャンペーンの影響に注目しました。「もし本当にグループが引退した場合、最大の脅威は彼らの高度な手法の拡散です」と彼は警告します。「OAuthトークンの悪用、AI音声クローン詐欺、漏洩したハイパーバイザー・ランサムウェアコードが安価かつ広範に出回っています。新たな静かなグループが現れる可能性が高く、既に元メンバーを引き抜いたり同じウォレットミキサーを再利用しているケースもあります。」

組織は警戒を緩めるべきではない

この発表が欺瞞的であるという専門家の見解を踏まえ、Singh氏は組織に最大限の警戒を維持し、脅威活動が継続していると想定するよう勧めています。「防御側は、侵害されたアカウントが依然としてアクティブであるかのように行動すべきです。パスワードをリセットし、FIDO2を強制し、レガシートークンを無効化してください」と彼は助言します。「ヘルプデスクはディープフェイク音声に対応できるよう訓練し、緊急かつ未確認の電話には必ず確認を取るべきです。ESXiハイパーバイザーは隔離し、ロックダウンモードにし、SSHは緊急時のみに制限してください。」

Singh氏の最終的な評価は、サイバーセキュリティ専門家が直面する課題を端的に表しています。「全体として、この『引退』はブランドの終焉と見るべきで、手法や人材、資金洗浄インフラは依然として存在しているため、安心するのは危険です。」