Scattered Lapsus Shiny Hunters(SLSH)と名乗る多産なデータ身代金ギャングは、被害企業から支払いを脅し取ろうとする際に独特の手口を持っています。侵入の規模を記者や規制当局に知らせながら、経営幹部やその家族に対して嫌がらせ、脅迫、さらにはスワッティングまで行うのです。被害者の中には支払っているところもあると報じられており――盗まれたデータを封じ込めるため、そしてエスカレートする個人攻撃を止めるために、同程度の額を支払っているのかもしれません。しかしSLSHの第一人者は、「支払わない」という返答以上に関与すると、さらなる嫌がらせを助長するだけだと警告しています。同グループの内紛が多く信頼できない過去を踏まえると、勝てる唯一の手は支払わないことだというのです。
画像:Shutterstock.com、@Mungujakisa
伝統的で高度に規律化されたロシア拠点のランサムウェア・アフィリエイト集団とは異なり、SLSHは手に負えず、やや流動的な英語圏の恐喝ギャングで、支払われた場合に犯罪者が約束を守るという一貫した行動の評判を築くことには関心がないように見えます。つまり、被害者が「金を払えば相手が言葉を守る」という一定の確信を持てるような状態を作る気がないのです。
そう語るのは、ニューヨーク市に拠点を置くセキュリティ・コンサルティング会社Unit 221のリサーチ・ディレクター、Allison Nixonです。ニクソンは、被害者を恐喝し嫌がらせするために使われる複数のTelegramチャンネル間を行き来する犯罪グループと個々のメンバーを綿密に追跡しており、SLSHは従来のデータ身代金グループとは他にも重要な点で異なると述べました。たとえば盗んだデータを破棄するなど、彼らが「やる」と言ったことを実行すると信じるべきではない理由があるというのです。
SLSHと同様に、多くの伝統的なロシア系ランサムウェア集団も、復号鍵や盗難データ削除の約束と引き換えに支払いを迫るための強圧的な手口を用いてきました。たとえば、盗まれたデータのサンプルをカウントダウン時計と並べて掲載するダークウェブの晒しブログを公開したり、記者や被害企業の取締役に通知したりする手法です。しかしニクソンによれば、SLSHの恐喝はそれをはるかに超えて急速にエスカレートし、経営幹部やその家族への身体的暴力の脅し、被害者サイトへのDDoS攻撃、繰り返されるメール洪水キャンペーンにまで及びます。
SLSHは、電話で従業員をフィッシングし、盗み取ったアクセスを使って機密性の高い社内データを窃取することで知られています。Mandiant(Googleのセキュリティ・フォレンジック企業)は、1月30日のブログ投稿で、SLSHの直近の恐喝攻撃は2026年1月上旬から中旬にかけてのインシデントに由来すると述べました。この期間、SLSHのメンバーはIT担当者を装い、標的となった被害組織の従業員に電話をかけ、会社がMFA設定を更新していると主張したということです。
「脅威アクターは従業員を被害企業ブランドの認証情報収集サイトへ誘導し、SSO認証情報とMFAコードを取得したうえで、自分たちのデバイスをMFAに登録した」と同投稿は説明しています。
被害者が侵害を最初に知るのは、SLSHが獲物を脅し、恐喝し、嫌がらせするために使っている、その時々の短命な新しい公開Telegramグループチャットで自社のブランド名が口にされたときであることが多いです。ニクソンによれば、SLSHのTelegramチャンネルで行われる組織的な嫌がらせは、屈辱を作り出して被害組織を圧倒し、支払いの一線を越えさせるための、よく練られた戦略の一部です。
ニクソンは、標的組織の複数の幹部が「スワッティング」攻撃の対象になったと述べました。これは、SLSHが標的の住所で偽の爆破予告や人質事件をでっち上げ、武装した警察が自宅や職場に出動することを狙うものです。
「彼らが被害者に対してやっていることの大きな部分は、心理的な側面です。たとえば幹部の子どもに嫌がらせをしたり、会社の取締役会を脅したりすることです」とニクソンはKrebsOnSecurityに語りました。「そして被害者が恐喝要求を受けている一方で、同時にメディアから『ねえ、あなたについて書こうとしている悪い話についてコメントはありますか』と連絡が来るのです。」
ニクソンは、SLSHとは交渉すべきではないと主張します。というのも同グループは、守るつもりのない約束を根拠に被害者を恐喝する意思があることを示してきたからです。ニクソンは、SLSHの既知のメンバーが全員The Com出身である点を指摘しています。The Comとは、サイバー犯罪に特化したDiscordおよびTelegramコミュニティ群の総称で、即時の協業を可能にする一種の分散型ソーシャルネットワークとして機能しています。
ニクソンによれば、Com系の恐喝グループはメンバー間の確執やドラマを引き起こしがちで、その結果、嘘、裏切り、信用を失墜させる行動、背後からの攻撃、互いの妨害へとつながります。
「この種の継続的な機能不全は、しばしば薬物乱用によってさらに悪化し、脅威アクターは成功した戦略的な身代金作戦を完遂するという中核目標を念頭に置いて行動できないことが多いのです」とニクソンは述べました。「彼らは戦略とオペレーショナル・セキュリティを危険にさらすような癇癪でたびたび自制を失い、その結果、継続的に成功する身代金を得るための、プロフェッショナルでスケーラブルかつ高度な犯罪組織ネットワークを構築する能力が著しく制限されます――ランサムウェア単体に注力する、より経験豊富でプロフェッショナルな他の犯罪組織とは異なります。」
確立されたランサムウェア集団による侵入は、通常、影響を受けたマシン上に主として留まる暗号化/復号化マルウェアを中心に展開します。対照的に、ニクソンによれば、Com系グループの身代金は、未成年者を狙った暴力的なセクストーション(性的脅迫)スキームと同じ構造であることが多いといいます。The Comのメンバーは有害な情報を盗み、それを公開すると脅し、被害者が従えば削除すると「約束」しますが、約束を守る保証も技術的な証拠もありません。彼女は次のように書いています。
SLSHグループは大量の企業データを盗み、身代金通知を出す当日、身代金と同時に届けられるよう複数の嫌がらせ攻撃を並行して準備します。これにはスワッティング、DDOS、メール/SMS/電話の洪水、ネガティブPR、社内および社外の権威者への苦情送付などが含まれ得ます。その後、交渉プロセスの間も、さらなる嫌がらせで圧力をかけ続け、新たな嫌がらせ攻撃が起きるまでにあまり時間を空けません。
彼らが交渉するのは、身代金を支払えばデータを漏えいしないという約束です。この約束は恐喝者への大きな信頼を前提とします。なぜなら、彼らはデータを削除したことを証明できず、私たちは彼らがデータを削除するつもりはないと考えているからです。支払いは、盗まれたデータセットの価値に関する重要な情報を彼らに与えます。私たちは、この情報がこの波が終わった後の不正行為に有用になると考えています。
SLSHが被害者に支払いを納得させる取り組みの重要な要素は、このグループがもたらす脅威を誇張するようメディアを操作することだと、ニクソンは述べました。この手法もまたセクストーション攻撃の手口を借用しており、標的を継続的に関与させ、従わない場合の結果について不安にさせ続けるよう捕食者を促すものだといいます。
「SLSHが発表できる実質的な犯罪上の『勝利』がない日には、法執行機関、記者、サイバー犯罪業界の専門家の関心をこのグループに向け続けるために、殺害予告や嫌がらせの発表に注力していました」と彼女は述べました。
Com系Telegramチャンネルのセクストーション・チュートリアルからの抜粋。画像:Unit 221B。
ニクソンは、SLSHから脅されることがどういうことかをよく知っています。ここ数カ月、同グループのTelegramチャンネルには、彼女に対する身体的暴力の脅し、筆者に対する脅し、そして他のセキュリティ研究者に対する脅しがあふれていました。こうした脅しは、メディアの注目を生み出し、もっともらしい信頼性の外観を得ようとする同グループの別の手段にすぎないと彼女は述べましたが、侵害の兆候(IOC)としては有用です。というのも、SLSHのメンバーは被害者とのやり取りの中でも、セキュリティ研究者の名前を持ち出して中傷する傾向があるからです。
「彼らがあなたに送ってくる連絡や公的声明の中で、次のような振る舞いに注意してください」とニクソンは述べました。「Allison Nixon(または『A.N』)、Unit 221B、サイバーセキュリティ記者――特にBrian Krebs――または他のサイバーセキュリティ従業員、あるいはサイバーセキュリティ企業について、繰り返し罵倒的に言及すること。殺害、テロ行為、あるいは社内従業員、サイバーセキュリティ従業員、調査員、記者に対する暴力をほのめかす脅し。」
Unit 221Bは、恐喝の試みの最中に行われる圧力キャンペーンは従業員、幹部、そしてその家族にとってトラウマになり得る一方で、SLSHとの長引く交渉に入ることは、同グループに危害とリスクの水準を引き上げる動機を与えると述べています。その中には従業員や家族の身体的安全も含まれ得ます。
「侵害されたデータは決して元の状態には戻りませんが、嫌がらせが終わることは保証できます」とニクソンは述べました。「ですから、支払うかどうかの判断は、嫌がらせとは別の問題であるべきです。私たちは、これらの問題を切り分ければ、短期的にも長期的にも自分たちの利益を守るための最善の行動は支払いを拒否することだと、客観的に分かるはずだと考えています。」
翻訳元: https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/
