出典:Edson(Alamy Stock Photo経由)
悪名高いサイバー犯罪グループ「Scattered Spider」のメンバーが、ラスベガスのクラーク郡少年拘置所に自首し、若きハッカー集団に対する法執行機関の最新の「勝利」となりました。
このニュースは、グループが—おそらく不誠実に—サイバー犯罪活動の終了を発表した直後に伝えられました。
今回の容疑者は、FBIラスベガス・サイバータスクフォースによって10代の男性と特定されており、他人の個人識別情報(PII)を悪用またはなりすましに使用した罪で3件、恐喝1件、恐喝共謀1件、コンピュータに関する不法行為1件で起訴されています。これらの罪がどの攻撃に関連しているかは明らかではありません。
「クラーク郡地方検事局は、この少年を刑事部門に移送し、成人としてこれらの罪に問うことを求めています」とラスベガス市警察はプレスリリースで述べています。
一方、ギャングの他の2人の容疑者—イーストロンドン出身の19歳Thalha Jubairとウォルサル出身の18歳Owen Flowers—は、昨年のロンドン交通局(TfL)へのハッキングに関する捜査の結果、英国で逮捕・起訴されました(先週火曜日)。
Loading...
前述の通り、これらの拘束は、同グループがサイバー脅威グループLapsus$やShiny Huntersとともに活動終了を発表した後に起きました。この発表は、ハッキングマーケットプレイス「BreachForums」と「Scattered Lapsus$ Hunters」公開Telegramチャンネルでの別れの手紙として投稿されました。
Loading...
手紙によると、メンバーの一部は引退を計画し、他の者はより「前向きな」役割でサイバーセキュリティ分野に留まる予定だとされています。しかし、セキュリティ研究者の中には、活動継続の証拠を指摘し、このニュースに懐疑的な見方を示す者もいます。
Scattered Spiderのサイバー犯罪による逮捕が相次ぐ
このグループは、主に英語を話す10代や20代前半の若者で構成され、ソーシャルエンジニアリングを駆使して「大物」を狙い、著名な被害者を出すハッキング活動で知られています。米国とヨーロッパの法執行機関は、メンバーへの包囲網を強化しています。
Scattered Spiderは、2023年にラスベガスのカジノ・ホテル大手シーザーズ・エンターテインメントとMGMリゾーツへの大規模侵害やランサムウェア攻撃で悪名を轟かせました。当時、連邦法執行機関はグループメンバーの身元を把握していたものの、まだ逮捕には至っていませんでした。同年11月には、FBIとCISAが企業向けに防御策を示すアドバイザリを発表しました。
1年後の2024年11月、司法省はグループの5人のメンバーに対する刑事告発を公開しました。被告4人はアメリカ人(20歳~25歳)、5人目のTyler Robert Buchanan(22歳)は英国在住でした。最年長のJoel Martin Evans(通称”joeleoli”、ノースカロライナ州ジャクソンビル)はFBIに逮捕され、直後に初公判に臨みました。彼らの罪の最高刑は、有線詐欺共謀で連邦刑務所20年、共謀で5年、加重身分盗用で2年、有線詐欺で20年です。
FBIは再び、19歳のRemington Goy Ogletreeを逮捕し、犯罪者を「網」にかけました。Ogletreeは2023年10月から2024年5月にかけて、2つの通信会社と1つの米国系大手銀行に不正アクセスし、フィッシング活動を行ったとされています。APIキーや暗号資産などのデータを盗み、ダークウェブで最高入札者に売却した疑いもあります。
その後も逮捕は続きました。今年4月には、悪名高いグループの一員とされる20歳のNoah Urbanがサイバー犯罪容疑を認め、数百万ドルの賠償に同意しました。「King Bob」としても知られる彼は、他の4人と共に逮捕され、当初は無罪を主張していましたが、カリフォルニアとフロリダで起訴された後、司法取引に応じました。
そして6月には、サイバー犯罪グループの首謀者とされる人物が、イタリア行きの便に搭乗しようとしていたパルマ・デ・マヨルカ空港で逮捕されました。逮捕時、22歳の彼はノートパソコンと携帯電話、そして2700万ドル相当のビットコインを所持していました。報道によると、彼は米国企業に対する45件以上のサイバー攻撃で告発されています。
Scattered Spiderのサイバー犯罪活動は終わらない?
多くの逮捕にもかかわらず、グループは企業への攻撃を継続しています。今年初めにMarks & Spencerが攻撃された際、研究者はScattered SpiderのメンバーがDragonForceランサムウェアを使って犯行に及んだと報告しました。他にもHarrodsやCo-Opなどの小売業者が標的となりました。
英国では小売業者への攻撃を受けて4人が逮捕されました。逮捕者は19歳の男性2人、17歳の男性1人、20歳の女性1人で、いずれもグループと関係があるとみられ、恐喝、マネーロンダリング、組織犯罪への関与などの容疑がかけられています。
さらに数か月前、FBIはScattered Spiderの関係者が航空会社やそのIT委託先に対してソーシャルエンジニアリング攻撃を仕掛けていると警告しました。つまり、航空業界のどの関係者もリスクに晒されている可能性があります。FBIは被害企業名を明かしませんでしたが、ハワイアン航空やカナダのWestJetはサイバーセキュリティインシデントによる業務障害を報告しています。
グループが「活動停止」を主張しているものの、今後メンバーがどうなるかは依然不透明です。別れの手紙には「ケリング、エールフランス、アメリカン航空、ブリティッシュ航空、その他多くの重要インフラは、公開または秘密のデータ侵害の“結果”に直面するのか?私が彼らなら気になるだろう。なぜなら、まだ身代金要求も何も受けていない企業もあるからだ。米英豪仏当局が状況を掌握したと錯覚している間に、彼らのデータは現在も悪用されているのでは?」と記されています。これにより、Scattered Spiderの活動が完全に終息していない、あるいは攻撃の余波が続いている可能性が示唆されています。
「サイバー犯罪グループの“引退”には、実際には当局の目を逃れるための“潜伏”に過ぎない場合が多いという歴史があります」と、BeyondTrustのフィールドCTOであるJames Maude氏は語ります。「彼らの引退声明を鵜呑みにして、アイデンティティや特権への経路のセキュリティ強化を怠るべきではありません。脅威アクターの“小さな軍隊”が、そうした隙を狙っているのです。たとえ一部のメンバーが引退し、不正に得た暗号資産をカリブ海で現金化していたとしても、サイバー犯罪で得られる巨額の利益が、空白をすぐに埋めてしまうでしょう。」
したがって、企業は警戒を怠らず、レジリエンス(回復力)に注力し、これらの脅威アクターやその後継者が今後も進化し続けることを想定しておく必要があると、彼は警告しています。