出典: Sari ONeal(Shutterstockより)
「Scattered Spider」のメンバーによる航空業界の組織への新たな攻撃の波が、Microsoftなどが現在最も危険な金銭目的の脅威グループの一つと見なしているこの集団に新たな注目を集めています。
金曜日、Xへの投稿で、FBIは警告しました。Scattered Spiderの攻撃者が、ITヘルプデスクを騙してアクセス権を得るなど、巧妙なソーシャルエンジニアリングの手口を使い、航空会社やそのパートナーを攻撃しているといいます。「彼らは大企業やそのサードパーティITプロバイダーを標的にしており、航空業界のエコシステムにいる誰もが、信頼されたベンダーや契約業者を含めてリスクにさらされる可能性がある」とFBIの警告は述べています。
攻撃者が被害者の環境にアクセスすると、FBIによれば、身代金目的で機密データを盗み、しばしばランサムウェアも展開します。
攻撃の増加
FBIの警告では、被害者の名前は挙げられていません。しかし、ここ数週間で少なくとも2つの航空会社、ハワイアン航空とカナダのWestJetが、少なくとも一部のサービスに影響を与えるサイバーセキュリティインシデントを報告しています。
どちらの航空会社も、少なくとも公式にはScattered Spiderが攻撃者であるとは特定していません。しかし、これらのインシデントは、MandiantやPalo Alto Networksなどが最近報告した、Scattered Spiderの航空業界への新たな注力と一致しています。Mandiantは最近のメディア向け声明で、「航空および運輸業界でUNC3944またはScattered Spiderの活動と類似する複数のインシデントを把握している」と述べています。
脅威グループを「Muddle Libra」と呼ぶPalo Alto Networksは、同様の攻撃の証拠を挙げ、業界の組織に対し「高度で標的型のソーシャルエンジニアリング攻撃や不審なMFAリセット要求に最大限の警戒を」と呼びかけています。ReliaQuestの最近のレポートによると、ある匿名の組織が先月、Scattered Spiderの攻撃者によってCFOの認証情報を取得され、その幹部になりすましてITヘルプデスクとやり取りしたといいますが、その組織がどの業界かは不明です。
これらの新たな攻撃は、2022年に脅威の表舞台に登場して以来、Scattered Spiderが絶えず標的業界を変えてきたパターンと一致しています。複数のセキュリティベンダーは、Scattered Spiderを組織化されたグループというよりは、19歳から22歳の英語ネイティブのメンバーが中心となった、サイバー犯罪で金儲けを目指す緩やかな集団と説明しています。Scattered Spiderは、「The Com」と呼ばれる、米国・英国・ヨーロッパの若いサイバー犯罪者による分散型コミュニティに関連するグループの一つで、主にDiscordやTelegramなどのプラットフォームで活動しています。Microsoftは、この集団の活動を、現在組織が直面する最も危険な金銭目的の脅威の一つと位置づけています。
志を同じくするサイバー犯罪者の集団
「このコミュニティを最も簡単に説明するなら、共通の関心を持ち、それについてチャットするだけでなく、多くの場合、素早く金持ちになる方法をつながり、協力して探る若い層の集まりと考えるとよいでしょう」とSilent Pushの脅威リサーチャー、Zach Edwards氏は述べています。
今年初めのレポートで、GoogleのThreat Intelligence Groupは、Scattered Spiderについて説明し、当初はSIMスワッピングスキームを支援するため通信会社を標的にしていたものの、2023年初頭にはランサムウェアやデータ窃取による恐喝へとシフトしたとしています。この転換により、金融サービス、飲食業、小売業者、SaaSプロバイダー、エンターテインメント企業、MSPやITサービスプロバイダーなど、標的リストが大幅に拡大しました。
Silent Pushによれば、2025年だけでもこの脅威集団の標的には、Chick-fil-A、Forbes、ルイ・ヴィトン、モーニングスター、ナイキ、X、T-Mobile、ボーダフォンなど、複数の大手消費者ブランドが含まれています。今年初めから、Scattered Spiderの攻撃者はロシアのランサムウェア・アズ・ア・サービス(RaaS)運営「DragonForce」と協力し、さらに強力な脅威となっています。「Scattered Spiderは、ネットワークが数時間停止するだけでも顧客からの圧力や経済的損失が大きい業界を意図的に狙っています。これは、身代金支払いの動機をさらに高めるためです」とEdwards氏は述べています。
セキュリティ研究者らは、Scattered Spiderが極めて危険な敵対者である理由としていくつかの要因を挙げています。最大の理由は、グループのソーシャルエンジニアリング手法の高度さです。多くの攻撃で、グループのメンバーは標的組織のヘルプデスクに連絡し、従業員や契約者になりすまして、たとえば新しい多要素認証(MFA)デバイスを侵害済みアカウントに追加させるなど、巧みに信じ込ませています。
他のケースでは、ITやヘルプデスク担当者になりすましたり、ユーザーに繰り返しMFA通知を送り続けて根負けさせたりして、ユーザーアカウントの認証情報を引き出すこともあります、とSwimlaneのリードセキュリティオートメーションアーキテクト、Nick Tausek氏は述べています。「彼らの成功のもう一つの秘訣は、標的業界を急速かつ予測不能に切り替えることです。数カ月間カジノなど一つの業界で複数の高価値ターゲットを攻撃した後、予告なく別の業界に移り、注目度の高い攻撃を連発します」。一つの業界が防御態勢を整え始める頃には、すでに別の業界に標的を移している、とTausek氏は述べています。
大胆不敵な厚かましさ
Scattered Spiderの極めて大胆な行動も要因の一つだとTausek氏は付け加えます。Scattered Spiderの攻撃者が不正に得たネットワークアクセスを利用し、対応者の内部コミュニケーションを積極的に監視したり、ZoomやMicrosoft Teamsの通話に頻繁に参加してインシデント対応の進捗を監視したりした事例もあるといいます。
「Scattered Spiderのアプローチの核心には、低権限または保護が手薄なアカウントへのアクセスを足がかりに、より機密性が高く信頼性の高い認証情報を侵害するという、よく知られた手法が残っています」とHuntressの主任脅威インテリジェンスアナリスト、Greg Linares氏は述べています。「このラテラルムーブメント(横展開)により、彼らは一見無害な入り口から組織に侵入し、従来型のセキュリティ対策を非常に効果的に回避することができます。」
Linares氏によると、Scattered Spiderが最近のキャンペーンで最も大きくエスカレートさせているのは、ディープフェイク音声や動画の利用です。正規従業員の声や映像を巧妙に再現し、ITヘルプデスクへの電話でエンドユーザーになりすましたり、内部ITスタッフを装って従業員に連絡し、アクセス権の付与やログイン情報の開示を強要したりしています。「従来のフィッシングやソーシャルエンジニアリングとは異なり、ディープフェイクはリアルタイムで声による認証が行われる場面で人間の信頼を悪用しますが、多くの組織はこの分野で危険なほど備えができていません」と述べています。
Scattered Spiderによるフィッシング詐欺から身を守るには、従来のユーザー教育やトレーニングの枠を超えた対策が必要です。Googleは、Scattered Spiderの攻撃者に対抗し封じ込めるため、組織に対してID、エンドポイント、アプリケーション、ネットワークインフラ、監視体制の管理を見直すよう推奨しています。ID管理の面では、ヘルプデスク担当者が従業員や契約者からの電話対応時に、カメラ越しや対面での本人確認、チャレンジレスポンス質問などの積極的な本人確認手段を用いることを求めています。また、SMS・電話・メールによる認証を廃止し、番号照合や地理的検証、あるいはパスワードレス認証の導入を推奨しています。
「Scattered Spiderは、成熟したセキュリティプログラムを持つ組織に対しても歴史的に効果的な攻撃を行ってきた、持続的かつ有能な敵対者です」とGuidePoint Securityの主任脅威インテリジェンスコンサルタント、Grayson North氏は警告します。「Scattered Spiderの成功は、決して新しい手法や斬新な戦術によるものではなく、ソーシャルエンジニアリングの熟練度と、標的への初期アクセス獲得を極めて粘り強く試みる姿勢にこそあるのです。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/scattered-spider-hacking-spree-airline-sector