英国のScattered Spiderメンバー2人、ロンドン交通局へのサイバー攻撃で実刑判決

2024年に発生したロンドン交通局(TfL)へのサイバー攻撃の実行犯として逮捕された英国人のScattered Spiderメンバー2人が木曜日に判決を言い渡され、それぞれ5年6か月の実刑に処されることになりました。

Owen Flowers被告(18歳)とThalha Jubair被告(20歳)は、6月に罪状を認めたことで量刑が15%軽減され、それぞれ懲役5年6か月の判決を受けました。

ウーリッジ刑事法院で両被告に判決を言い渡したTurner判事は、両サイバー犯罪者の未熟さに言及しつつも、犯行の巧妙さ、TfLへの影響の大きさ、攻撃の背後にある周到な計画性、そして両被告が自らの行為の犯罪性を認識していたことを指摘しました。

Turner判事はさらに両被告の年齢差にも触れ、JubairがFlowersより1年4か月年上であることは「成熟度における潜在的に重要な違いを示している」と述べました。

判事はまた、量刑を決定する上で両被告の神経多様性(ニューロダイバーシティ)についても考慮したとし、これは犯行の重大性を反映しつつも、最も寛大な判決であったと述べました。

FlowersとJubairは、当局からScattered Spiderのメンバーと位置づけられています。Scattered Spiderは、主に16歳から25歳の若い男性で構成されるとみられる、緩やかに結びついた英語圏のサイバー犯罪者集団です。

Scattered Spiderはここ数年で最も注目されたサイバー犯罪集団の一つであり、2023年のMGM Resortsへの攻撃や、2025年の英国の大手小売企業への攻撃など、大規模な攻撃の犯行声明を出してきました。

英国家犯罪対策庁(NCA)は、同グループが英国にとって最も重大なサイバー脅威であると述べており、今回の判決は英国史上最大規模となるサイバー犯罪者訴追の締めくくりとなります。

NCA当局者は、FlowersあるいはJubairがScattered Spiderの犯行とされる他の大規模攻撃と何らかの関連があるかについては、一貫してコメントを避けています。

今回の判決は、1990年コンピュータ不正使用法(CMA)第3ZA条に基づく有罪判決としては2件目にすぎません。同条は最も重大な犯罪に限って適用されるものです。

第3ZA条は、コンピュータに関わる無許可の行為によって深刻な損害が生じる、あるいは生じる重大なリスクがあり、加害者がその損害を意図していた、またはその発生について未必の故意があった場合を対象としています。

FlowersとJubairは、自らの行為が未必の故意によるものであったとして罪状を認めました。

これまで唯一の第3ZA条による有罪判決は昨年のもので、国家安全保障に関する捜査の結果、懲役6年を言い渡された元GCHQインターンが対象でした。NCAは、この事件と今回のTfLへの攻撃との間に類似点はないとしています。

NCAの国家サイバー犯罪ユニットを率いるPaul Foster副長官は次のように述べています。「これは英国の裁判所においてこれまでで最大規模のサイバー犯罪訴追であり、NCA、検察庁(CPS)、そして警察のパートナー機関による約2年にわたる地道な捜査の集大成です。

「Scattered Spiderは近年、英国にとって最も重大なサイバー犯罪の脅威でした。今回の捜査により、私たちはその脅威を大きく削ぎ、主要な実行犯を裁きにかけることができました。

「ロンドン交通局への攻撃は、英国の重要インフラの一翼を担う組織に多大な金銭的損害と業務の混乱をもたらしました。ロンドン交通局が早い段階で法執行機関と連携していなければ、今回の有罪判決はおそらく実現しなかったでしょう。同様の状況に置かれた他の組織にも、ぜひ同じように対応していただきたいと思います。

「私たちは今後も英国内外のパートナーと協力し、犯人を特定して裁きにかけていきます」

ロンドン交通局のAndy Lord交通局長は次のように述べています。「2024年に当局の業務に影響を及ぼしたサイバー事案に関連して起訴されていた2人に判決が下されたことを歓迎します。

「当局のシステムとお客様データのセキュリティは、私たちにとって極めて重要です。権限を持つ者のみがアクセスできるよう常にシステムを監視しており、TfLを守るために必要な対策を引き続き講じてまいります」

TfLへの攻撃の経緯

Scattered Spiderのメンバーは、フィッシング、音声フィッシング(「ビッシング」)、ソーシャルエンジニアリングといった手口を使って標的のネットワークへの足がかりを得ることで知られており、TfLに対する攻撃も例外ではありませんでした。

FlowersとJubairは「よく知られた犯罪フォーラム」でTfLの部分的な認証情報を購入し、それを使って従業員アカウントの二要素認証(2FA)をリセットしました。このプロセスには複数回の試行を要しました。

ウーリッジ刑事法院で明らかになったところによると、2人は従業員になりすまし、TfLのヘルプデスク担当者を巧みに欺いてアカウントのパスワードをリセットさせました。

2人は2024年8月31日にTfLのネットワークへの侵入に成功し、9月3日までアクセス権を保持していました。この間、両被告は権限昇格を進め、当初は約5,000人分の情報のみを含むとみられていたデータベースを含む主要な内部システムへのアクセスを獲得していきました。

Scattered Spiderが実際には約700万人分のユーザーデータにアクセスしていたことが判明したのは、今年に入ってからのことでした。

この攻撃による交通ネットワークへの実質的な混乱は最小限にとどまりましたが、アカウントログイン、カスタマーポータル、TfLのデータに依存するサードパーティ製アプリなど、いくつかのサービスの可用性には影響が出ました。

TfLは2024年12月4日まで、ロンドン市民への写真付き交通カードの発行ができない状態が続きました。攻撃の影響で一部の券売機も故障し、コンタクトレスカードで支払いをした利用者はオンラインで利用履歴を確認できなくなりました。

攻撃者がまだネットワーク内に残っている可能性が拭えなかったため、リモートワークを許可されていた職員を含む同組織の全従業員、約28,000人がTfLのオフィスに呼び出され、パスワードのリセットを求められました。

鉄道やバスの運行自体には影響がなかったものの、攻撃への対応にかかった費用は2,900万ポンド(3,900万ドル)にまで膨らみました。

いくつもの複雑な事情

NCAによると、今回の判決に至る捜査は、かつて隆盛を誇ったLockBitランサムウェア集団を壊滅させたOperation Chronosよりも、ある意味さらに複雑だったといいます。

FlowersとJubairを裁きにかけるにあたっては、両被告の年齢、生い立ち、神経多様性を踏まえた慎重な対応が求められました。

Owen Flowers. Image courtesy of the National Crime Agency

例えばFlowers被告は、TfLへの攻撃以前から英国の法執行機関に把握されており、捜査官は当初から同被告の関与を疑っていましたが、年齢の関係で昨年9月まで実名を公表することができませんでした。

この少年は2024年9月6日、母方の祖母と叔父と共に暮らしていたウォルソールの寝室3つの自宅で、TfLへの攻撃への関与が疑われ最初に逮捕されました。

当局によれば、Flowersは自宅の自室でコンピュータゲームをしたりチャットフォーラムを利用したりして過ごす時間が多く、主な動機はサイバー犯罪コミュニティ内での悪名を得ることだったとされています。

同被告は起訴された後、保釈条件付きで釈放されましたが、2024年10月に2回、さらに2か月前に警告を受けたにもかかわらず2025年5月にも再び条件に違反しています。

TfLへの攻撃以前にも、Flowersはより軽微なコンピュータ犯罪を行っていました。2023年10月には警察の訪問を受け、中止命令(cease-and-desist order)を通告されています。これは当時16歳だった同被告の再犯を思いとどまらせることを警察が期待したものでした。

Flowersはまた、CMA違反に関する研修や助言も提供されましたが、当局によれば同被告はこれらに応じようとしなかったといいます。

その後、TfLへの攻撃までの1年間で、Flowersは次第に深刻化する犯罪を重ねていきました。

NCAのFoster氏は、直近の国王演説で発表が予定されているサイバー犯罪リスク命令(Cyber Crime Risk Orders)が導入されていれば、警察はもっと早い段階でFlowersを逮捕し、再犯の可能性をより効果的に防ぐ制限を課すことができていたかもしれないと述べています。

重大犯罪防止命令のような既存の権限は18歳未満の犯罪者には適用できず、CMA違反の一部は重大犯罪の要件を満たさないため、警察による再犯リスク管理には隙間が生じています。

Foster氏は次のように述べています。「提案されているサイバー犯罪リスク命令は、性犯罪リスク命令と原理的に似た、比例性のある予防的な手段を法執行機関に提供するものです。捜査が継続している間も、公衆や企業の保護に役立つ条件を課すことができるようになります。

「こうした条件は積極的に監視され、違反があれば根本の捜査が終結しているかどうかにかかわらず、拘禁を含む刑事罰の対象となり得ます。

「もしサイバー犯罪リスク命令が当時利用可能だったなら、米国やオーストラリアのパートナー機関から提供された情報をもとに行動することも含め、もっと早くFlowersを逮捕できていたはずだと考えています」

FlowersとJubairはともに自閉症であり、Jubairはさらにうつ病と重度の気分障害の診断も受けています。

Flowersと同様、Jubairも以前から英国警察に把握されていました。これは主に、BT/EEやNvidiaをハッキングしたLapsus$集団への関与に絡む2023年の前科によるものです。

審理の間、JubairはLapsus$の元メンバーであるArion Kurtaj被告と共に法廷に座っていました。BBCのJoe Tidy記者が最近明らかにしたところによると、Kurtaj被告は無期限の入院命令が終了し、現在は裁判を待つ身にあるといいます。

当時18歳未満だったため実名を公表できなかったJubairは、VPNの利用禁止を含む18か月の少年更生命令を受けましたが、間もなく再び犯罪に手を染めるようになりました。

当局は、窃盗犯や性犯罪者といった犯罪者の自由を制限する既存の法的手段がサイバー犯罪者には有効に機能しないことを示す一例として、Jubairの再犯を挙げています。

Thalha Jubair. Image courtesy of the National Crime Agency

Jubairはロンドン・ボウにある21階建ての公営集合住宅の3階、寝室2つのアパートで、いずれも介護士として働くバングラデシュ出身の両親と暮らしていました。

同被告は、2025年9月に公開された米国での訴追にも直面しています。

Scattered Spiderのメンバーとしての活動を通じて、2022年5月から2025年9月にかけて、Jubairは重要な国家インフラや連邦裁判所システムを含む米国の47団体に属する120のネットワークを侵害したとされ、その結果1億1,500万ドル超の身代金支払いが発生したとされています。

英国内では、Jubairは詐欺13件、恐喝1件を含む計22件の前科があります。過去には、2人の若い女性をオンラインでストーキング・嫌がらせした罪でも判決を受けています。

同被告の犯罪行為は14歳のときに始まっており、当局によれば幼い頃からコンピュータに強い関心を持っていたといいます。

2021年2月に初めて逮捕されたJubairは、13歳の時点ですでにコーディングを習得していました。

ロンドンのボウ地区にある学校に通い、複数のGCSE資格を取得しており、地元のカレッジへの入学も試みていました。

逮捕と証拠収集

証拠収集という点では、Flowersの逮捕の方がJubairの逮捕よりもはるかに大きな意味を持ち、2人をTfLへの攻撃に結びつける決め手となりました。

Flowersを逮捕したNCA捜査官は、ノートパソコン、タワー型コンピュータ、USBストレージデバイスなど複数のデバイスも押収しました。Flowers所有のAcer製ノートパソコン1台の解析が、結果的に2人の命取りとなりました。

フォレンジック解析の結果、FlowersはTfLへの攻撃に使用されたリモートインフラや仮想マシンにアクセスしていたことが判明しました。

決定的だったのは、Flowersが作成した、TfLへの攻撃の様子を撮影した動画やスクリーンショットが捜査官によって発見されたことです。ウーリッジ刑事法院で明らかになったところによると、2人は16時間に及ぶ攻撃の様子をオンラインでライブ配信していました。

捜査官は、リモートインフラの利用料支払いをFlowersのコンピュータ内で見つかった暗号資産アカウントに結びつけ、そのノートパソコンが攻撃発生時にこのインフラに接続していたことを証明することができました。

さらにFlowersは、自宅への食事配達の注文にも同じ暗号資産アカウントを使用していました。

この少年のコンピュータには、TfL従業員の部分的な認証情報を含むスプレッドシートが保存されており、米国の医療機関であるSSM Health Care CorporationおよびSutter Healthへのサイバー攻撃に同被告を結びつける証拠も含まれていました。

同じコンピュータには、この活動をJubairに結びつける痕跡も含まれていました。

当局によれば、特定のあだ名(ハンドルネーム)が頻繁に登場するチャットログにもアクセスできたといいます。

このあだ名がJubairに結びつけられたのは、特定のフライト予約やホテル予約、食事の配達注文について話し合う際にも同じ名前が使われており、それらが明らかに20歳の同被告本人に結びつけられたためです。また捜査官は、TfLのデータを含むクラウドストレージアカウントの存在を示す証拠も発見しており、FlowersとJubairの双方がこれにアクセスできる状態にありました。

Jubairから押収されたデバイスから判明したことは比較的少なく、同被告が2022年という早い時期からTfLのシステムに関心を示していたことが分かった程度でした。®

翻訳元: https://www.theregister.com/cyber-crime/2026/07/16/brit-scattered-spider-duo-handed-tickets-to-prison-over-transport-for-london-attack/5272446

ソース: theregister.com