組織は、今年Scattered Spiderハッキング集団によって展開された戦術から身を守るため、防御策を早急に更新する必要があると、Gartner Security & Risk Management Summit 2025で専門家が語りました。
同グループが用いる新しく、非常に効果的な手法に対処するためには、特にアイデンティティツールとコントロール、セキュリティプロセス、サードパーティリスク管理に重点を置くべきだとされています。
サミットのセッションで、リスクアドバイザリー会社Krollのアソシエイトマネージングディレクターであるジョージ・グラス氏は、Scattered Spiderが2025年4月から7月にかけて著名な標的を侵害する上で非常に成功した手法について議論しました。
このグループは、オンライン犯罪ネットワーク「The Com」に関連しており、4月と5月にMarks & Spencer (M&S)、Co-op、Harrodsなどの小売業者に対する複数の攻撃に関与していました。
その後6月には保険業界に標的を切り替え、さらに同月には運輸業界に移りました。攻撃は同じ手法で行われており、機密データへのアクセスやランサムウェアの展開に非常に効果的です。
グラス氏は、同グループが恐喝の手段として経営幹部に対し物理的暴力をほのめかす脅迫を用いたことがあると指摘しました。
その後、Scattered Spiderの活動は大幅に減少しており、グラス氏はこれを7月の容疑者逮捕や内部の「内紛」など、法執行機関の対応によるものとしています。
ShinyHuntersのような他の攻撃者もScattered Spiderと同様の戦術を用いて大きな成功を収めていることから、組織はこれらの戦術に対抗するためセキュリティ対策を更新することが不可欠です。
専門家は、Scattered SpiderやShinyHuntersなど「The Com」関連グループ間で多くの重複や協力があると考えています。
例えば、自動車メーカー大手Jaguar Land Rover (JLR)に対する最近のサイバー攻撃は、「Scattered Lapsus$ Hunters」と名乗るグループによるものであり、Scattered Spider、ShinyHunters、Lapsus$の間で協力があった可能性を示唆しています。
Scattered Spiderの手口:ケーススタディ
グラス氏は、Krollのクライアントが受けたScattered Spiderによる攻撃について、その企業が最終的に阻止できた事例を紹介しました。
攻撃は、攻撃者がターゲットのITヘルプデスクに電話し、自分がアカウントにロックアウトされた従業員だと偽ることから始まりました。
パスワードがリセットされると、Scattered Spiderは「プッシュ通知疲労」を利用してユーザーの多要素認証(MFA)を突破しようとしました。これは、ユーザーにモバイルのプッシュ通知を大量に送り、誤って承認したり、通知を止めるために承認することを狙う手法です。
アカウントへのアクセスを得た後、攻撃者はすぐにMFAコードが送信されるデバイスを変更しました。
そこからScattered Spiderは、さらなるソーシャルエンジニアリング手法を活用し、ネットワーク上の機密システムへのアクセスを急速に拡大しました。
「場合によっては、1時間も経たないうちにSharePointに侵入し、非常に重要な情報を取得している」とグラス氏は述べています。
この事例では、攻撃者はOktaアカウントにアクセスし、内部のスピアフィッシングにSlackを利用しました。
これにより、攻撃者はリモートアクセスツールとAveMariaリモートアクセス型トロイの木馬(RAT)を展開し、さらなる認証情報を窃取しました。グラス氏は、Scattered Spiderは「本当に必要になるまで」マルウェアやその他のツールを展開しないと指摘しています。
この過程で、彼らはLastPassのログイントークンを盗み、8つのシークレットアクセスキーが漏洩しました。
この時点で、Krollは攻撃者が被害者のシステムにアクセスする前に攻撃を阻止することができました。グラス氏によれば、もし阻止できなかった場合、攻撃者は被害者のAWS環境でS3バケットを探し、機密情報を流出させ、ランサムウェアを展開していた可能性が高いといいます。
Scattered Spiderの攻撃から守るには
専門家は、Scattered Spiderが用いる手法に対抗するため、組織が注力すべき3つの重要な分野を提示しました。
アイデンティティベースの保護と対応
Krollのマネージングディレクターであるビル・ソーヤー氏は、Scattered Spiderが組織に侵入する際、パスワードやMFAの取得を狙っており、アイデンティティが鍵となると指摘しました。
「ユーザー名とパスワード以上に成熟したアイデンティティ保護を適用することが非常に重要です」とソーヤー氏は述べています。
これには、全てのSaaS(ソフトウェア・アズ・ア・サービス)アプリケーションがシングルサインオン(SSO)に接続されていることを確認することが含まれます。
また、攻撃者が取得しにくい番号一致型のMFAコードを使用することも推奨しています。
検知と対応もアイデンティティと密接に関連しています。例えば、セキュリティチームはユーザーがトークンを異常な方法で使用していないか迅速に検知できるようにする必要があります。
ソーシャルエンジニアリング対策のためのプロセス更新
ソーヤー氏はまた、ソーシャルエンジニアリングがScattered Spiderの主要な手口であり、ビッシングによる従業員のなりすましや、内部Slackチャンネルを使って通常ではしない行動をユーザーに依頼するなどの手法があると指摘しました。
これらの手法に対抗するため、プロセスに「摩擦」を加えることが重要だと述べています。例えば、パスワードリセットを依頼する際に、従業員がビデオ通話や対面でITヘルプデスクに行くようにするなどです。
サードパーティリスク管理
Scattered Spiderの攻撃は、SSOや他のアイデンティティプロバイダーなど、被害者のテクノロジーベンダーを標的にしてシステムへのアクセスを得ることが一般的です。
そのため、組織はベンダーと効果的に連携し、サードパーティ攻撃への対策を確実に行う必要があります。
Gartnerサミット中にInfosecurityの取材に応じたINGのグローバル最高情報セキュリティ責任者(CISO)デビー・ジャネチェック氏は、インシデント発生時に迅速に通知を受けるため、ベンダーとの密接な関係が必要だと強調しました。
「私のベンダーは『メールを確認してほしい、侵害が発生し、あなたにこう影響する』とテキストを送ってくれます。こうしたパートナーシップがなければ、すぐに注意喚起を受けることができません」と彼女は説明しています。
ジャネチェック氏はまた、他組織に影響を与えた公開インシデントを注意深く監視し、使われた戦術を理解し、それに応じて防御策を更新するよう企業に助言しています。
「自分自身で戦術、技術、手順(TTPs)を監視しなければなりません」と彼女は述べています。
翻訳元: https://www.infosecurity-magazine.com/news/update-defenses-scattered-spider/