Scattered Spiderのハッカーら、ロンドン交通局への2900万ポンド規模のサイバー攻撃で有罪判決

悪名高いハッカー集団Scattered Spiderの若手メンバー2人が、数千万ポンドの損害をもたらし、数千人のロンドン市民のサービスに支障を来したロンドン交通局(TfL)へのサイバー攻撃を主導したとして、それぞれ禁錮5年6か月の判決を言い渡されました。

東ロンドン出身のThalha Jubair被告(20)と、ウェスト・ミッドランズ州ウォルソール出身のOwen Flowers被告(18)は、2026年7月16日、ウーリッジ刑事法院で判決を受けました。今回はこれまで英国の裁判所に持ち込まれたサイバー犯罪事件の中で最大規模の起訴となりました。

両被告は先月、裁判開始予定日に罪状を認める方向に主張を変え、有罪を認めていました。国家犯罪対策庁(NCA)とロンドン市警察(CoLP)の捜査により、侵入は2024年8月31日から9月3日までの3日間に行われたことが特定されています。

攻撃者はTfLのネットワークに侵入し、全従業員27,000人に対面でのパスワード再設定を強いたほか、148のシステムをオフラインに追い込みました。中には復旧までに数週間手作業での対応を要するほど重要なシステムも含まれていました。

影響を受けたサービスには、支援が必要な住民向けの配車予約システム「Dial-a-Ride」、割引乗車券の発行、デジタル決済、そして展開中だった非接触型乗車券サービスなどが含まれていました。

攻撃者はTfLのOysterカード払い戻しシステムにもアクセスし、児童・若年層向けOysterフォトカードの申請プロセスを停止させました。

TfLは直接的な損失と復旧費用として2900万ポンドを計上したと報告しています。捜査当局は、もし攻撃によってロンドンの交通網が完全に停止していた場合、経済的損害は560億ポンドに達していた可能性があると指摘しています。

両被告はコンピュータ不正使用法第3ZA条のもとで起訴されました。これは同法の中でも最も重い規定で、行為者が重大な被害を意図した、あるいは重大な被害のリスクを認識しながら無謀に行動した場合の無許可行為を対象としています。この条項に基づく起訴は、英国においてこれが2件目となります。

NCAの発表によると、Flowers被告は2024年9月6日、米国の医療機関SSM Health Care CorporationおよびSutter Healthに対する不正アクセスを実行中に最初に逮捕されました。

同被告の自宅を捜索したところ、ノートパソコン、ハードドライブ、USBデバイスが発見され、その中にはTfLのインフラへのネットワーク接続を示すスクリーンショットや、Jubair被告がTfLのシステムにリアルタイムでアクセスする様子を記録した動画も含まれていました。

両被告はその後、それぞれ別の機会に再逮捕されています。Flowers被告はデバイス使用に関する保釈条件違反により、Jubair被告は捜査当局へのデバイスのPINやパスワードの開示を拒否したことにより、それぞれ再逮捕されました。

NCAのPaul Foster副長官はScattered Spiderについて「近年英国にとって最も重大なサイバー犯罪の脅威」と評し、TfLが早期に法執行機関と連携したことが有罪判決の確保に極めて重要だったと述べています。

Microsoftは独自の分析として、今回の逮捕が同グループの活動能力に実質的な打撃を与えたと評価する一方、Scattered Spiderのブランドが損なわれたことに乗じて他の攻撃者が活動を続ける可能性もあるとしています。

FBIサイバー部門のBrett Leatherman次席部長は、同グループの特徴的な手口であるデータ恐喝、SIMスワッピング、ソーシャルエンジニアリングに言及し、今後も国境を越えた連携を継続していく方針を示しました。

ロンドン市警察はまた、今回の事件を、有罪判決を受けた犯罪者のテクノロジー利用に対して裁判所の監督下でリスクに応じた制限を課す「サイバー犯罪リスク命令(CCRO)」の導入を訴える根拠としても活用しました。これは予防とリハビリテーションの両方を目的とした「デジタル監獄」モデルとされています。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから集約されたライブ脅威フィードを統合

翻訳元: https://cyberpress.org/scattered-spider-hackers-sentenced/

ソース: cyberpress.org