「Scattered Spider」戦術に関連するハッカーは、これまで保険業界や小売業界を攻撃してきましたが、標的を航空および運輸業界へと拡大しています。
これらの脅威アクターは、業界ごとに段階的に攻撃を行っており、最初はイギリスのM&SやCo-op、アメリカの小売チェーンなどの小売企業を標的とし、その後保険会社へと焦点を移しました。
当初は保険業界への攻撃の責任者として公式に名指しされていませんでしたが、最近の事件ではAflac、Erie Insurance、Philadelphia Insurance Companiesが影響を受けています。
ハッカー、航空業界を標的に
6月12日、カナダで2番目に大きい航空会社WestJetがサイバー攻撃を受け、社内サービスやモバイルアプリが一時的に障害を受けました。
侵害後まもなく、情報筋はBleepingComputerに対し、Palo Alto NetworksとMicrosoftが攻撃対応を支援していると伝えました。
この攻撃はScattered Spiderによるものとされ、同社のデータセンターおよびMicrosoft Cloud環境が侵害されたとされています。
BleepingComputerは、脅威アクターが従業員のセルフサービスによるパスワードリセットを実行し、自身のMFAを登録してCitrix経由でネットワークへのリモートアクセスを得たと知らされました。
他の脅威アクターもID攻撃を行いますが、Scattered Spiderはヘルプデスクやパスワード、MFAインフラを定期的に標的とするこの戦術で知られるようになっています。
本日、Hawaiian Airlinesもサイバー攻撃を受けたことを公表しましたが、攻撃者に関する詳細は明らかにしていません。しかし、情報筋はBleepingComputerに対し、同じ脅威アクターによるものと考えられていると述べています。
Palo Alto Networksのコンサルティング&脅威インテリジェンス担当SVP、Sam Rubin氏は、LinkedIn上でScattered Spiderが航空業界を標的にし始めたことを確認しました。
「Unit 42は、Muddled Libra(別名Scattered Spider)が航空業界を標的にしていることを観測しています」とRubin氏は警告しています。
「組織は、高度で標的型のソーシャルエンジニアリング攻撃や、不審なMFAリセット要求に最大限の警戒を払うべきです。」
MandiantのCharles Carmakal氏も、脅威アクターが現在、航空および運輸業界に焦点を移していると警告しています。
「警告:Scattered Spiderは北米の航空会社および運輸組織を標的リストに追加しました」とCarmakal氏はLinkedInに投稿しました。
「Mandiant(Google Cloudの一部)は、航空および運輸業界でUNC3944またはScattered Spiderの活動に類似した複数のインシデントを把握しています。
「業界は、ヘルプデスクによる本人確認プロセスを直ちに強化し、従業員や契約者アカウントに新しい電話番号を追加する前(脅威アクターがセルフサービスのパスワードリセットに利用する可能性あり)、パスワードリセット、MFAデバイス追加、または従業員情報(従業員IDなど)を提供する前に、ソーシャルエンジニアリング攻撃に悪用されないよう対策を講じることを推奨します。」
American Airlinesも現在IT障害に見舞われていますが、これがセキュリティインシデントかどうかは不明です。BleepingComputerは同社に問い合わせましたが、回答は得られていません。
Scattered Spiderとは
Scattered Spiderは、0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libraなどの別名でも知られており、ソーシャルエンジニアリング攻撃、フィッシング、多要素認証(MFA)爆撃(標的型MFA疲労攻撃)、SIMスワッピングなどを駆使して大企業のネットワーク初期アクセスを得ることに長けた脅威アクターの分類です。
これらの脅威アクターには、多様なスキルを持つ若い英語話者が含まれており、同じハッカーフォーラムやTelegramチャンネル、Discordサーバーを利用しています。これらの媒体を通じてリアルタイムで攻撃の計画・実行が行われます。
一部は「Com」と呼ばれる、金融詐欺、暗号通貨窃盗、データ侵害、恐喝攻撃で知られる緩やかな脅威アクターコミュニティの一員と考えられています。
Scattered Spiderはしばしば一つのギャングとして扱われますが、実際には特定の戦術を用いる脅威アクターを指す呼称です。Scattered Spider戦術に関連する攻撃は、緩やかなネットワークに属する様々な個人によっても実行されるため、追跡が困難です。
他の多くの英語話者の脅威アクターと異なり、「Scattered Spider」に関連する者は、BlackCat、RansomHub、Qilin、DragonForceなどのロシア語話者のランサムウェアギャングと提携することが知られています。
Scattered Spiderに関連する他の攻撃には、MGM、Marks & Spencer、Co-op、Twilio、Coinbase、DoorDash、Caesars、MailChimp、Riot Games、Redditなどがあります。
この種の脅威アクターから防御する組織は、インフラ全体、IDシステム、重要な管理サービスにわたる完全な可視性を確保することから始めるべきです。
これには、セルフサービスのパスワードリセットプラットフォームやヘルプデスクのセキュリティ強化も含まれます。これらは脅威アクターの一般的な標的です。
Google Threat Intelligence Group(GTIG)およびPalo Alto Networksは、これらの脅威アクターが使用する既知の「Scattered Spider」戦術への防御強化ガイドを公開しています。
すべての管理者は、これらのヒントを把握し、IDプラットフォームやプロセスの強化を推奨します。
更新 2025/6/27:American Airlinesが現在IT障害に見舞われていることを追記しました。
なぜITチームは手動パッチ管理をやめているのか
パッチ適用は、かつては複雑なスクリプト、長時間労働、絶え間ない緊急対応を意味していました。今は違います。
この新しいガイドで、Tinesは現代のIT組織がどのように自動化でレベルアップしているかを解説します。パッチ適用を迅速化し、オーバーヘッドを削減し、戦略的な業務に集中できます――複雑なスクリプトは不要です。