ここ数か月、Scattered Spider(UNC3944、Scattered Swine、Octo Tempest、Storm-0875、Muddled Libraとも呼ばれる)として知られるサイバー犯罪集団が、各国の小売業者、保険会社、そして最近では航空会社を標的とした一連の攻撃を仕掛け、話題を集めています。
イギリス当局が2025年7月に4人の容疑者を逮捕し、活動が目に見えて減少したものの、これは一時的なものかもしれません。Scattered Spiderは一枚岩の国家支援型組織ではなく、分散型の集団であり、しばしばオンラインコミュニティから現れた10代や若い男性で構成されています。このグループは2023年にMGMリゾーツなどのカジノ大手への攻撃で初めて大きく報道されました。彼らの手口は一貫して目立つものですが、多くの組織は十分な防御強化に失敗しています。なぜこれほど多くの組織が、こうした継続的な脅威に対して決定的な対策を取っていないのでしょうか?
Scattered Spiderの手口を解剖する
Scattered Spiderはデータ恐喝やその他さまざまな犯罪行為に関与しています。彼らの脅威アクターは、最近ではDragonForceランサムウェアを含む複数のランサムウェアを攻撃に使用することで知られています。グループは発見を回避するために戦術・技術・手順(TTP)を頻繁に変えますが、いくつかの手法は一貫しています。主なTTPは以下の通りです:
- 初期侵入:グループはフィッシング、プッシュボンビング(多要素認証プロンプトのスパム)、SIMスワップ攻撃などのソーシャルエンジニアリング手法を多用し、認証情報の窃取、リモートアクセスツールのインストール、多要素認証(MFA)の回避を行います。
- 攻撃の実行:Living-off-the-land技術を活用し、PowerShell、Rundll32、WMIC、タスクスケジューラなどのWindows標準ツールを使用します。これにより、従来のアンチウイルスやエンドポイント検知・対応(EDR)システムによる検出を回避します。
- 永続化:Scattered SpiderはOkta、Microsoft Entra、Active DirectoryなどのIDプロバイダーを悪用し、バックドア管理者アカウントの作成、認証フローの変更、カスタムSAMLトークンの注入を行います。また、AnyDesk™、TeamViewer®、ScreenConnect™、Splashtop®などのリモートアクセスツールを頻繁に使用し、正規のIT活動に紛れ込みます。
- 権限昇格:攻撃者は組み込みコマンドを使って内部アカウントやグループを列挙し、AWSやGCPなどのクラウド権限(ロール)を悪用してアクセス権を拡大します。
- 内部偵察:多くの高度な攻撃者と同様に、ネットワークトポロジーを把握し、ドメインコントローラー、ファイル共有、バックアップサーバーなどの重要システムを特定します。また、Confluence、Jira、Slack、SharePointなどのプラットフォームから機密データや認証情報を抽出します。
- 影響と恐喝:Scattered SpiderはALPHV/BlackCatやRansomHubなどのランサムウェアグループと提携し、データの暗号化や身代金要求(主に暗号通貨)を行います。盗んだデータの漏洩、規制当局や顧客への連絡、追加攻撃の実施をちらつかせる「二重・三重恐喝」も一般的です。
ヘルプデスクの盲点
Scattered Spiderの最も効果的かつ特徴的な手口の一つは、ITヘルプデスク担当者になりすまして電話やテキストで認証情報を入手したり、従業員にリモートアクセスソフトのインストールを促したりすることです。最近では逆に、従業員になりすましてITやヘルプデスク担当者を騙し、機密情報の開示、パスワードリセット、MFAトークンの攻撃者デバイスへの転送を行わせる手法も見られます。
このようにして攻撃者は重大なセキュリティの見落としを突いています。ITヘルプデスクは内部の信頼できる存在と見なされがちで、多層的なサイバーセキュリティ戦略からしばしば除外されています。これは組織が直ちに対処すべき重大な盲点です。
リスク露出を最小化する方法
Scattered Spiderの手口に関連するリスクを低減するため、組織は以下の対策を実施すべきです:
広告 続きを読むにはスクロールしてください。
- リモートアクセスツールのホワイトリスト化を含むアプリケーション制御を実施する
- FIDO2やPKIベース認証など、フィッシング耐性のあるMFAを必須とする
- リモートデスクトッププロトコル(RDP)やその他のリモートアクセスツールの利用を制限する
- 堅牢な事業継続計画を策定・評価し、オフラインバックアップを維持する
- すべてのアカウントでNIST準拠のパスワードポリシーを徹底する
- すべてのOS、アプリケーション、ファームウェアを定期的にパッチ適用・更新する
- 管理者権限を制限し、可能な限りジャストインタイムアクセスを利用する
特にヘルプデスクの脆弱性に対処するため、すべてのパスワードリセットやアクセス回復リクエストに対して多段階の本人確認を導入すべきです。本人確認と継続的な認証は、現代のサイバーセキュリティフレームワークに不可欠な要素です。これにより、IDベースの脅威からの保護、コンプライアンス対応、ユーザー体験の向上、組織の信頼性強化が実現します。
結論
Scattered Spiderや同様のサイバー犯罪グループは、依然として継続的かつ進化する脅威となっています。これに先んじるためには、ITヘルプデスクを含む全業務領域をカバーする包括的なセキュリティ戦略の実施が不可欠です。見落とされがちなこれらのチームが、今や主要な標的となっています。
ソーシャルエンジニアリングやランサムウェアが支配する脅威環境において、積極的な防御、多層的な保護、内部セキュリティギャップの解消は、もはや選択肢ではなく必須事項です。