フィンランドから米国へのScattered Spiderメンバー容疑者の身柄引き渡しは、刑事告発の内容そのものを超えて注目を集めています。
起訴状の8ページ目に埋もれていたある詳細が、今回の事件の中で最も重要な部分だとセキュリティ研究者たちの間で話題になっています。Microsoftのテレメトリーと結びついたグローバルデバイス識別子(GDID)が、匿名化されていたオンライン上の活動を単一のWindowsインストールへと結びつける決め手になった、というものです。
2026年7月1日、米司法省はエストニアと米国の二重国籍を持つ19歳のPeter Stokes容疑者(オンライン上では「Bouquet」の名で知られる)の身柄引き渡しを発表しました。Stokes容疑者はヘルシンキ空港で日本行きの便に搭乗しようとしていたところを拘束されました。
同容疑者には、Scattered Spiderに関連するとされる100件を超えるネットワーク侵入事件と、1億ドルを超える身代金支払いをめぐり、共謀、コンピュータ侵入、詐欺の罪が問われています。
当初のScattered Spiderに対する米国の身柄引き渡し手続きに関する当時の報道でも詳しく取り上げられているように、サイバー犯罪者の身元特定の多くは、インフラの使い回しや認証情報の流出といった従来型のOPSEC(運用セキュリティ)の失敗に起因します。しかし今回のケースは、これとは異なる経緯をたどりました。
裁判資料によると、Microsoftは容疑者のGDID(g:6755467234350028)に紐づくテレメトリーを捜査当局に直接提供していました。起訴状は、グローバルデバイスIDが、末尾が.168で終わる特定のVPNプロキシサービスのIPアドレスと結びつけられ、正体を隠していた攻撃活動の追跡に使われた経緯を明確に強調しています。
フォレンジック調査の完全な時系列、リバースエンジニアリングによって解析されたデバイス識別子、そして作戦全体の詳細な分析は、DarkAtlas Threat Intelligence Archiveで直接公開されています。
このテレメトリーは、同一のデバイス識別子を、正体を隠していた複数の活動クラスターと結びつけていました。
VPNやプロキシインフラが介在していたにもかかわらず、GDIDによって捜査当局は安定したデバイスレベルの手がかりを得ることができ、一見無関係に見えた活動を1台のWindowsインストールへとたどり着かせることができました。
GDIDとはグローバルデバイス識別子の略称で、物理的なハードウェアではなくWindowsのインストールに紐づく、Microsoftの永続的な識別子です。Windowsのアップデートを経ても値は変わりませんが、OSを再インストールすると変化します。
技術コミュニティによる包括的な報道では、このWindowsデバイス追跡テレメトリーがStokes容疑者の正体を暴いた経緯が詳しく検証されており、デバイスがセットアップ時にMicrosoftの旧来のPassport.NETサービスに登録される仕組みが明らかにされています。
これにより一意の認証情報セットが生成されるため、GDIDはPassportIdentity.HexPUIDプロパティのような、旧来のPassport一意識別子(PUID)システムのアーキテクチャと直接関連していると考えられます。
脅威インテリジェンスチームにとって、この事件は、アカウントやエイリアス、インフラをどれだけ切り替えても、基盤となるOSインストールが存続する限り、その連続性を消し去ることはできないことを示しています。
フォレンジックチームにとっては、エンドポイントのテレメトリー、クラウド上の記録、ブラウザの診断情報を相互に関連づけることで初めて価値が生まれる、という点を改めて裏付ける事例です。
企業にとっては、管理下にあるエンドポイントでどの診断データを有効にしているか、Edgeのテレメトリー設定はどうなっているか、そしてインシデント対応を支えられるだけの期間ログを保持しているか、といったガバナンス上の課題を突きつけるものでもあります。
GDIDがローカル環境のどこに保存されているのかについては、研究者による調査が現在も続いていますが、より大きな教訓は明らかです。身元の特定は、必ずしもただ一つのミスから生まれるとは限りません。VPNが表面上の痕跡を覆い隠した後も、セッションやサービス、インフラをまたいで静かに残り続けるテレメトリーから明らかになることもあるのです。
翻訳元: https://cyberpress.org/new-research-details-how-fbi-uncovered-alleged-scattered-spider-member/