つい最近まで、サイバー攻勢といえば「異質な」悪性サーバーや、いかにも怪しいIPアドレスと同義でした。ところが今日、そのパラダイムは完全に変わりました。Team Cymruによる包括的なレポートは、Scattered Spiderの高度な手口を明らかにしています。彼らは正規のデジタル基盤の中に溶け込んで姿を消す術を極め、侵入を日常的な従業員の活動、VPNセッション、標準的な企業サービスに見せかけて偽装します。この模倣により、彼らは現代における最も手強いサイバー脅威の一つとしての評判を確立しました。
2024年から2025年にかけて、Scattered SpiderはTheCom犯罪アンダーグラウンドにおける英語話者の有力勢力としての地位を確立しました。2024年5月、FBIは同グループを、数百万ドル規模の損失をもたらした一連の重大攻撃に結び付ける公的勧告を発出しました。MGM Resortsは以前、Scattered SpiderによるものとされるALPHV/BlackCatのランサムウェア攻撃で、被害額が1億ドル近くに達したと開示しています。2025年には、Marks & Spencerが、同じく同グループに関連するとされるDragonForceランサムウェア侵入を受け、3億ポンドの損失が見込まれると報告しました。さらに、Googleのアナリストは、Co-opおよびHarrodsでの侵害もScattered Spiderが主導したと主張しています。
同グループは主に、ALPHV/BlackCat、Qilin、RansomHub、DragonForceなどのRansomware-as-a-Service(RaaS)プラットフォームのアフィリエイトとして活動しています。彼らの特徴は、複雑なゼロデイ攻撃の利用ではなく、ソーシャルエンジニアリングの深い熟達にあります。工作員はしばしば企業のITサポートに連絡し、従業員になりすまして、担当者にパスワードのリセットやリモート管理ツールのインストールを誘導します。また、SMSベースのフィッシング(シングルサインオン(SSO)ポータルのなりすまし)を展開し、SIMスワップの手口で企業のアイデンティティを乗っ取ります。
初期侵入の足がかりを確保すると、攻撃者はSSO連携された全サービスを体系的に洗い出し、内部アーキテクチャを横断し、仮想化環境やクラウドリポジトリへ侵入してデータを流出させ、暗号化ペイロードを展開します。彼らの戦術的な卓越性はインフラにあります。従来型のハッカーの司令塔を避け、Scattered Spiderは一般的なVPNサービス、正規のプロキシネットワーク、広く使われるファイル共有サイト、トンネリングプロトコル、そしてAnyDeskやTeamViewerのようなリモート管理ユーティリティを悪用します。
要するに、彼らは日常的なインターネットトラフィックの織り目の中へと溶け込んでしまうのです。接続は、サービスをテストするリモート開発者や、クラウド経由でファイルを同期するスタッフの挙動と見分けがつきません。商用プロキシサービスを通じて住宅用IPアドレスを利用することで、彼らの行動は自動化されたセキュリティシステムに対して完全に無害に見えます。こうしたトラフィックを遮断することは、正当な業務運用を麻痺させるリスクなしには不可能である場合が多いのです。
専門家は、この戦略がScattered Spiderを特異なまでに危険な存在にしていると強調します。同じIPアドレスやサービスが正規ユーザーと悪意ある攻撃者の双方に利用される場合、従来のブラックリスト型防御は時代遅れになります。唯一現実的な対抗策は行動分析であり、インフラが何であるかではなく、それがどのように利用されているかに焦点を当てることです。同グループはツールやプロバイダーを素早く入れ替える一方で、一貫した作戦上の特徴を維持しています。その結果、Scattered Spiderの武器庫における主たる武器は、もはや悪性コードではなく、「見慣れたもの」を武器化し、ありふれたデジタル風景を致命的なサイバー戦の道具へと変えてしまう能力なのです。
