ロンドン交通局(TfL)へのサイバー攻撃をめぐり、若い男2人がそれぞれ懲役5年6か月の実刑判決を受けました。判事は、2人の行動が純粋な金銭目的だけでなく、一部「身勝手な虚栄心」に動機づけられていたと指摘しています。
オーウェン・フラワーズ被告(18)とタルハ・ジュバイル被告(20)は、英国のコンピュータ不正使用法(CMA)に基づき、TfLに対する不正行為の罪で起訴されていました。2026年6月22日、両被告は攻撃の実行について有罪を認めており、これはCMAのもとで行われた同種の刑事訴追としては英国で2件目にすぎません。
判決は7月16日、ロンドンのウーリッジ刑事法院でジャスティス・ターナー判事により言い渡されました。判決では両被告の有罪答弁に加え、若さや診断された神経多様性といった情状酌量の事情、そして「高度な専門知識」を有していたことから自らの行為の影響を理解していたと見られる点など、加重要因も考慮されています。
フラワーズ被告とジュバイル被告は、Scattered Spiderとして知られるグループの一員と見られています。同グループは、2025年に発生したマークス&スペンサーやCo-opの事案を含め、過去数年間に発生した大規模サイバー攻撃との関連が指摘されてきました。
Scattered Spiderは、Lapsus$やShinyHuntersといった他のグループとともに、The Comと呼ばれる緩やかな集団から派生したものです。
TfLサイバー攻撃、財務・業務両面で甚大な影響
英国国家犯罪対策庁(NCA)によると、今回のサイバー攻撃によりTfLは損失および復旧費用として2,900万ポンド(3,800万ドル)を被り、さらにTfLは収入減少分として1,000万ポンド(1,350万ドル)の追加損失を主張しています。
今回の事案はTfLの交通システム自体には直接的な影響を及ぼさなかったものの、同社の社内システムおよび顧客向けシステムの多くに波及効果をもたらしました。
例えば、攻撃者はTfLのOysterカード払い戻しシステムのデータにアクセスし、その結果、同社は子どもや若者向けのOysterフォトカードの申請受付を停止する事態となりました。
加えて、障がいのある人々が利用するダイヤル・ア・ライド・バスの予約システムも今回の侵害を受けて停止したほか、TfL GoやCityMapperといったアプリで提供されているチューブ(地下鉄)のリアルタイム運行情報もオフラインになりました。
また、TfL従業員27,000人超が対面でのパスワード再設定を求められました。
今回のハッキングによる影響を受けた人数は、英国全土で700万人から1,000万人に上ると推計されています。
NCAによれば、もし今回の攻撃によって交通ネットワークの停止に至っていた場合、英国経済への推計損失額は最大560億ポンド(750億ドル)に達していた可能性があるということです。
ソーシャルエンジニアリングと2要素認証のリセット
フラワーズ被告が17歳、ジュバイル被告が18歳だった2024年8月31日、両被告はTfLのシステムへの不正アクセスに成功しました。両被告はこのアクセス権を2024年9月3日まで維持していました。
NCAの上級捜査官は、両被告が「よく知られたオンライン犯罪マーケットプレイスやフォーラム」から入手したTfL従業員の部分的な認証情報や、その他のソーシャルエンジニアリング手法を用いてシステムへのアクセスを獲得し、2要素認証(2FA)のリセットを要求したことを確認しています。
「2FAのリセットを成功させるまでには複数回の試行を要しました。それだけ彼らは執拗だったということです。私たちが把握している通りの人物像で、その後TfLのシステム内で権限昇格を進めていきました」と、この上級捜査官は付け加えました。
フラワーズ被告とジュバイル被告は、一連の犯行を通じて密に連絡を取り合っており、2人の間でやり取りされたTelegramのメッセージには、TfLのOysterカード保有者データベースへのアクセスに成功したことに触れる内容が含まれていました。
判事は量刑言い渡しの中で、2人が自らの「活動の進捗」の一部をライブ配信し、観衆に見せていたとも述べています。
NCAの国家サイバー犯罪ユニットを率いるポール・フォスター副長官は、次のように述べています。「これは英国の裁判所においてこれまでで最大規模のサイバー犯罪訴追であり、NCA、検察局(CPS)、そして捜査に協力した警察関係機関による約2年間にわたる地道な取り組みの集大成です」
「Scattered Spiderは、近年英国にとって最も重大なサイバー犯罪の脅威でした。今回の捜査を通じて、我々はその脅威を大幅に抑え込み、主要な実行犯を法の裁きにかけることができました」と同副長官は付け加えました。
画像提供: Mounir Taha / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/selfish-bravado-behind-tfl/