ロンドン交通局のハッキング事件で2900万ポンドの被害、Scattered Spiderのメンバーに実刑判決

悪名高いハッキング集団「Scattered Spider」のメンバー2人が、ロンドン交通局(TfL)に対するサイバー攻撃を実行した罪で、それぞれ懲役5年6か月の実刑判決を言い渡されました。この攻撃により数千人の通勤客の利用するサービスが混乱し、同交通当局には推計2900万ポンドの被害が生じました。

Image

東ロンドン在住のThalha Jubair容疑者(20歳)とウォルソール在住のOwen Flowers容疑者(18歳)は、公判開始予定日だった先月、罪状を認めました。国家犯罪対策庁(NCA)とロンドン市警察は、両容疑者をコンピュータ不正使用法(CMA)第3ZA条違反で起訴していました。

NCAは「CMA第3ZA条は最も重い条項であり、権限のない行為が重大な損害を引き起こす、あるいは重大な損害の重大なリスクを生じさせ、かつ本人がその損害を意図している、または無謀にもそれを顧みない場合に適用される」と説明しています。

JubairとFlowersの両容疑者は、2024年8月31日から9月3日にかけてTfLのシステムに不正アクセスしました。TfLは事態を封じ込めたものの、この侵害は148のシステムに影響を及ぼし、全従業員27,000人が対面でパスワードをリセットする必要に迫られました。

この事案により、障がい者や高齢者向けの配車予約サービス「Dial-a-Ride」、割引乗車カード、デジタル決済、払い戻しシステム、さらには非接触型乗車券の導入計画にも混乱が生じました。子供向け割引乗車カードの申請サービスも利用できなくなりました。

捜査当局の試算によれば、ロンドンの交通網が完全に停止していた場合、英国経済への被害額は最大560億ポンドに達していた可能性があるといいます。

セキュリティ担当大臣のアンジェラ・イーグル氏は、「今回の衝撃的な事件は、サイバー犯罪者がわが国の安全と繁栄に及ぼす極めて深刻な脅威を示すものです。首都の重要インフラの一部が数百万ポンドの損失を被り、罪のない一般利用者に多大な混乱を強いる結果となりました」と述べています。

捜査でより広範な活動が発覚

警察は2024年9月6日にFlowers容疑者を逮捕しました。捜査当局によれば、逮捕当時、同容疑者は米国の医療機関2社、SSM Health Care CorporationおよびSutter Healthを標的とした攻撃にも関与していたといいます。

同容疑者の自宅を捜索したところ、ノートパソコンやハードドライブ、USBデバイスに加え、Jubair容疑者がTfLのシステム内部にアクセスしている様子を映した動画が発見されました。捜査当局によると、両容疑者はTelegramを通じて連絡を取り合い、攻撃の際には共有のオンライン作業スペースを利用していたということです。

警察は2024年9月16日、両容疑者をそれぞれの自宅で逮捕しました。Flowers容疑者はその後、デバイス使用に関する保釈条件違反で再度逮捕されています。Jubair容疑者も、押収されたデバイスのPINコードとパスワードの提供を拒否したことで、別途起訴されました。

NCAサイバー犯罪対策部門の副部長を務めるPaul Foster氏は、「Scattered Spiderは近年、英国にとって最も重大なサイバー犯罪の脅威となってきました。今回の捜査を通じて、われわれはその脅威を大きく食い止め、主要な犯行者たちを裁きの場に引き出すことができました」と述べています

Scattered Spiderのメンバーはソーシャルエンジニアリングの手口、とりわけビッシング(音声フィッシング)に長けていることで知られており、SIMスワッピングや偽のシングルサインオン(SSO)ページ、MFAプロンプト爆撃(いわゆるMFA疲労攻撃)を通じて多要素認証による保護を回避する傾向があります。

また、企業のITヘルプデスクやサポート担当者を電話で標的にすることも好みます。従業員になりすましてパスワードの変更をサポート担当者に持ちかけたり、逆にサポート担当者になりすまして従業員にリモート監視・管理(RMM)ツールをインストールさせたり、フィッシングサイト経由でアカウントにログインさせたりする手口です。

翻訳元: https://www.helpnetsecurity.com/2026/07/16/ransport-for-london-cyberattack-prison-time/

ソース: helpnetsecurity.com