蜘蛛の巣に絡め取られて：Scattered Spiderの戦術が進化し、被害者が増加

Scattered Spiderは、新たな戦術を用いて被害者を増やしています。

世界中の政府が警告している通り、このハッカーグループは従業員になりすまし、ITヘルプデスクを騙してパスワードをリセットさせたり、多要素認証（MFA）トークンを攻撃者が管理するデバイスに転送させたりしています。これにより、彼らは破壊的な恐喝やランサムウェア攻撃を実行できるようになります。

「Scattered Spiderが成功しているのは、ソーシャルエンジニアリングを巧みに使っているからです」とJohannes Ullrich氏（SANS Technology Institute研究部長）は語ります。「防御側は技術的な攻撃や技術的な対策にばかり注目しがちですが、Scattered Spiderのような攻撃者は、単純な電話やSMS、時には現金の賄賂で内部者の協力を得ています。」

高度なスピアフィッシングが防御を突破

Scattered Spider（Scatter Swine、Oktapus、Octo Tempestとも呼ばれる）は、少なくとも2022年5月から活動しており、さまざまなソーシャルエンジニアリング技術を使って認証情報を取得し、リモートアクセスツールをインストールし、MFAを回避し、データを盗み、組織を脅迫しています。

このグループのメンバーは、ITやヘルプデスクのスタッフになりすまして従業員を騙し、認証情報やワンタイムパスワード（OTP）を渡させたり、市販のリモートアクセスツールを実行させてネットワークアクセスを得たりすることで悪名高いです。彼らは、スミッシング（SMSフィッシング）、ビッシング（音声フィッシング）、スピアフィッシング（特定の従業員を狙ったフィッシング）など、さまざまなソーシャルエンジニアリング手法を使います。

現在、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）やカナダ、英国、オーストラリアの他の機関は、このグループが戦術を変え、新たなマルウェアやランサムウェア技術（「RattyRAT」やDragonForceなど）を使ってデータを流出させていると警告しています。

各機関は、Scattered Spiderが正規の公開されているリモートアクセス用トンネリングツール（現在はTeleport.shやAnyDeskも含む）を再利用して、セキュリティ対策を簡単に回避していると警告しています。CISAによると、同グループは組織のSnowflakeへのアクセスを探し出し、「短時間で大量のデータを流出させ、しばしば数千件のクエリを即座に実行」しています。

このグループはネットワークにアクセスした後、データを流出させて公開を脅迫することで知られています。最近では、流出したデータが米国内のデータセンター（Amazon S3など）に移され、暗号化されています。メンバーはその後、TOR、Tox、メール、その他の暗号化アプリを使って標的組織と連絡を取ります。

彼らは、targetsname-cms[.]com、targetsname-helpdesk[.]com、oktalogin-targetcompany[.]comなどのドメインを使用しています。CISAは、標的組織名の後に-helpdeskやSSOの種類を付け加えて信憑性を高めていると説明しています。

場合によっては、Scattered Spiderのメンバーが不正なマーケットプレイスで従業員や契約社員の認証情報を購入してアクセスを得ることもありますが、より一般的には、B2Bサイトを調査して特定の個人に関する情報を収集します。ユーザー名、パスワード、個人識別情報（PII）を特定し、SIMスワッピング（被害者の電話番号を自分たちが管理するSIMカードに移す）を行った後、「複数段階」のソーシャルエンジニアリングを数回の電話にわたって実施します。

これらの行動は、パスワードリセットに必要な手順を学び、標的従業員のパスワードリセット情報を収集し、スピアフィッシングの電話でヘルプデスク担当者を騙してパスワードをリセットさせたり、MFAトークンを転送させたりしてアカウントを乗っ取るためのものです。

その後、自分たちの活動が発見されたかどうかを確認するために、脅威アクターは組織のSlack、Microsoft Teams、Microsoft Exchange Onlineで攻撃やその後のセキュリティ対応に関する議論を検索することがよくあります。また、偽のSNSプロフィールで裏付けられた新しいIDをこれらの環境で作成し、インシデント対応や復旧の電話会議に頻繁に参加します。これにより、セキュリティチームがどのように自分たちを追跡しているかを把握できます。

Scattered Spiderがこれほど広範囲に及ぶのは、「高度かつ積極的なソーシャルエンジニアリングでほとんどの防御を回避しているからです」と、サイバーセキュリティ企業KnowBe4のデータ駆動型防御エバンジェリストRoger Grimes氏は語ります。

Scattered Spiderの罠にかからないために

このグループの新たな戦術に対応するため、CISAは企業に対し、「リスキーなログイン」（疑わしい、または異常と判定されたサインイン試行）を監視するよう助言しています。その他の重要なサイバーセキュリティ対策は以下の通りです：

• フィッシング耐性のあるMFAを徹底する。
• アプリケーション制御を実施し、リモートアクセスプログラムの許可リスト化など、ソフトウェアの実行を管理・制御する。
• リモートアクセスツールを監査し、現在使用中または許可されたソフトウェアを特定する。
• リモートアクセスソフトウェアの実行ログを確認し、異常な利用を検出する。
• 許可されたリモートアクセスツールのみを、VPNや仮想デスクトップなど承認された仕組みを通じてネットワーク内で使用を許可する。
• 一般的なリモートアクセス用ポートやプロトコルでの内外通信を遮断する。
• リモートデスクトッププロトコル（RDP）やその他のリモートデスクトップサービスの利用を厳格に制限する。

このグループのソーシャルエンジニアリング技術が多くの防御を回避できることから、専門家はツールだけに頼るのではなく、包括的なサイバーセキュリティ文化の構築が重要だと強調しています。

「CISOはScattered Spider対策のために“光る箱”を買うことはできません」とDavid Shipley氏（Beauceron Security）は述べています。「ソーシャルエンジニアリングを見抜く意識と積極的なチーム、前向きなセキュリティ文化、そしてレッドチームによって月に一度は検証される堅牢で積極的なヘルプデスク認証手順の構築が必要です。」

KnowBe4のGrimes氏は、多くの防御ガイド（CISAのものも含む）が、ソーシャルエンジニアリングへの最適な対策について「ほとんど触れていない」と指摘します。彼によれば、それはより良いセキュリティ意識向上トレーニングだと言います。「そのため、人々は間違ったことに注力し、なぜScattered Spiderがこれほど成功しているのか不思議に思うのです。」

彼は「簡単にフィッシングされるMFAは使わないこと——それがほとんどのMFAです」と助言しています。フィッシング耐性のあるMFAの例として、NIST、FIDO2、1Kosmos、IEEEのAuthN、Beyond Identity、IDEE、Google Advanced Protection Program、HYPR、idenprotectを挙げています。

SANSのUllrich氏は、企業が重要なセキュリティ機能（ID・アクセス制御など）をサードパーティベンダーに頼りすぎていると指摘します。その結果、現在の脅威に迅速に戦術的な変更を加えるのが難しくなります。認可活動の詳細な把握が難しくなり、適切な検知や緩和が遅れたり妨げられたりし、現代の分散型ネットワークでは詳細な監視が「ほぼ不可能」になっています。

最適なのは内部の専門知識ですが、それが難しい場合は、強力な従業員報告制度を推進すべきだと述べています。「効果的な意識向上トレーニングは、従来型のアンチフィッシング訓練よりも報告機能の強化を重視することが多い」とUllrich氏は述べています。