主に10代や20代前半で構成されるサイバー犯罪集団「Scattered Lapsus$ Hunters(SLSH)」は、FBIによるクリアウェブサイトの押収を受け、2026年まで活動を休止すると発表しました。
同グループはいつものように、テレグラムを通じて罵詈雑言と外国人排斥的な別れのメッセージを発信し、支持者たちに身代金支払いを拒否する国々を引き続き標的にするよう呼びかけました。また、復帰時にはFBIへの報復攻撃を行うと宣言しました。
「FBIが我々の遺産を消し去ろうとした特別な状況を受け、我々は例外的に一時的に消滅することを決断し、すぐにハッキングで反撃するつもりだ」と、あるメンバーは10月11日に書き込みました。「我々は再びエーテルの中に消える。おやすみ。」
続くメッセージはさらに直接的でした。「約束する、お前たちは我々の怒りを味わうことになる。」グループは、来年の復帰時にFBIサイバー部門のトップであるブレット・レザーマンを解雇させると誓って締めくくりました。
注目すべきは、これがSLSHの初めての劇的な撤退ではないということです。先月もグループは活動停止を宣言しましたが、わずか3日後に再登場しています。
SLSHは、標的とする組織の規模や、異例の構成員層によって、最も悪名高いサイバー犯罪グループの一つとなっています。他の多くのサイバー犯罪グループと異なり、SLSHはほぼ全員が西洋人かつ英語のネイティブスピーカーで構成されています。
今年初め、Scattered Spider、Lapsus$、Shiny Huntersの主要メンバーが合流して結成されたこの集団は、法執行機関から厳しい監視を受けており、最近も容疑者の大規模な逮捕が相次いでいます。
英国国家犯罪対策庁(NCA)は9月、ロンドン交通局(Transport for London)への攻撃に関連して2人の10代を逮捕・起訴しました。捜査当局は、ウォルサル出身のオーウェン・フラワーズ(18)とイーストロンドン出身のタルハ・ジュベイル(19)がScattered Spiderの一員だったと主張しており、容疑者とグループを公に結びつけた珍しい事例となりました。
7月には、英国の大手小売業者Co-op、M&S、Harrodsへの攻撃に関連して4人が逮捕されました。Scattered Spiderが少なくとも2件の事件に関与していると推測されましたが、当局は公式な関連性の確認には至りませんでした。
SLSHは週末、Qantas、ベトナム航空、Gap、富士フイルムなどの大手企業のデータを追加で流出させ、さらに注目を集めました。ただし、同グループが提供したLimewireのリンクはすぐにプラットフォームによって削除されました。
Qantasは、当初からセキュリティ問題について透明性を保っており、ウェブサイトを更新して流出を認め、最高裁判所の差し止め命令により漏洩データへのアクセスが禁止されていることを明記しました。
同航空会社は7月初旬、約600万人の顧客の個人情報やマイレージ番号が流出したと発表し、日曜日の更新でも、被害者に対して詐欺師による標的化に特に注意するよう再度呼びかけました。
他の組織はQantasのような情報漏洩公開ページを設けていませんが、第三者によって犯罪者の主張の一部が検証されています。HaveIBeenPwnedはベトナム航空のデータセットに730万人分の個人情報やマイレージ情報が含まれていたとし、Atlas Privacyのdatabreach.comはGapの流出データに256,200件のユニークなメールアドレス、152,100件の電話番号、146,100件の自宅住所が含まれていたと確認しました。
「データ構造はSalesforce PersonAccountのエクスポートと一致しており、顧客または連絡先の記録、システムメタデータ、ロイヤルティアカウントの項目が含まれています」と述べています。
SLSHはまた、Salesloft Drift(Salesforceのプラグイン)への攻撃を通じて、他に40社分の情報も入手したと主張しています。Salesforceは自社システムが侵害された事実はないと一貫して主張しています。
テレグラムチャンネルでSSLHの犯罪者たちは、データが流出しなかった組織は身代金を支払ったと示唆しました。「他に何が流出するのかと多くの人が聞いてくるが、もう何も流出しない。流出したものはすべて流出した。我々が持っているものは明らかな理由で流出できない :D」
セキュリティ専門家は、SLSHの主張を額面通りに受け取らないよう警告しています。多くのサイバー犯罪者と同様、このグループにも誇張や虚偽の前歴があります。
最近の例では、SLSHがオーストラリアの通信会社Telstraのデータを流出させると主張し、1,900万人の顧客が被害に遭ったと述べました。Telstraはこの主張を否定し、次のように述べています:
「調査の結果、データはTelstraのシステムではなく、公開情報からスクレイピングされたものでした。パスワード、銀行情報、運転免許証やMedicare番号などの個人識別情報は含まれていません」とXeetしました。
SLSHは2023年7月に攻撃が行われたと述べており、Telstraは2024年11月に漏洩を認め、影響を受けたデータは主に従業員やパートナーに関する基本的な個人情報だったとしています。
ThreatAwareの共同創業者兼CEOであるJon Abbottは、週末の情報流出を、将来の被害者に対して恐喝に応じるよう圧力をかけるための威嚇戦術だと指摘しています。「先週の恐喝未遂と土曜日のデータ流出は、40社がグループに支払いをしなかったことの証拠です。
「影響を受けた40社の顧客は、連絡を受けた際に注意が必要です。詐欺師は流出したデータを使って、大規模または個別にターゲットを絞ったソーシャルエンジニアリング攻撃を仕掛け、金融情報の窃取や、場合によってはなりすまし犯罪を行う可能性があります。
「これはScattered Lapsus$ Huntersが従来から行っているパターンです。しかし、最終的には支払いを得ることには失敗しています。組織がこのような流出を避けたいなら、犯罪者に支払っても保証はなく、基本的なセキュリティ対策を徹底することが重要です。
「Scattered Lapsus$ Huntersの手口、例えばビッシングや改変されたデータローダーなどは、厳格なパスワードリセットの確認、堅牢なサービスデスクの運用、そして卓越したサイバー衛生の必要性を浮き彫りにしています。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/13/scattered_lapsus_hunters_hiatus/
