首謀者を逮捕したのに続くサイバー攻撃、次に狙われるのは誰だ

サイバー攻撃を防ぐ方法はさまざまだ。エンドポイントセキュリティやネットワークセキュリティなどを強化することはもちろんだが、犯罪者の手口を知ることも役立つ。

[David Jones，Cybersecurity Dive]

　GoogleのThreat Intelligence GroupとGoogleのグループ企業Mandiantの研究者によると、英国で数週間に3件の攻撃を実行したとされるサイバー犯罪グループが、米国でも小売業界の複数の企業への侵害に成功したという。

狙われる小売業界

　研究者によると、英国企業を狙った攻撃者は、現在米国の小売業界の企業に対して、ソーシャルエンジニアリングの手法を活用した巧妙な攻撃を仕掛けているようだ。

　問題なのはこの攻撃グループの首謀者が逮捕されているにもかかわらず、攻撃が続いていることだ。

　この脅威グループは「UNC3944」または「Scattered Spider」として知られている。英国の小売業者HarrodsとCo-op、Marks ＆ Spencerに対する攻撃の主要な実行者だと考えられている。GoogleとMandiantは米国企業への侵入が特定の攻撃者に起因するものだと正式には断定していないものの、「米国への攻撃の背後にいる犯罪者は英国でのインシデントと同じテクニックや手順を利用している」と述べた。

　GoogleのThreat Intelligence Groupのジョン・ハルトクイスト氏（チーフアナリスト）は、次のように述べた。

　「この攻撃者は長期間の活動休止を経てから英国の小売業界を標的にした。一度に1つの業界に集中する傾向があり、近い将来、引き続き小売業界を狙うと予想される。米国の小売業者は注意を払うべきだ」

　ハルトクイスト氏は2025年5月14日に「X」への投稿で（注1）、脅威グループによる攻撃に備えるよう小売業者に事実上の警告を発した。

広がるScattered Spiderの攻撃

　Googleの研究者は「英国におけるインシデントについては、別のセキュリティ企業が調査しているため、状況の把握が十分でなく、攻撃者の特定ができていない」と述べた。2025年5月の初めに、MandiantはScattered Spiderの既知の手口に対抗するネットワーク強化ガイダンスを発表したが（注2）、英国企業への攻撃と正式に関連付けたわけではないと注意を促した。

　リスクコンサルティング企業Krollの担当者は、現在同じ手法を使った攻撃を受けた企業に対応している。Krollのグローバル脅威インテリジェンス部門に所属するキース・ウォイチェシェク氏（マネージングディレクター）は（注3）、次のように述べた。

　「当社が『KTA243（またはScattered Spider、Oktapus）』として追跡している攻撃者による攻撃と、活動パターンや指標の面で一致する攻撃に対抗するために、現在、小売業界のクライアントと積極的に連携している」

　近年、Scattered Spiderは、米国や複数の国で30以上のホテルとゲーム施設を運営するMGM Resorts Internationalをはじめとする知名度の高いターゲットに対するソーシャルエンジニアリング攻撃を成功させており（注4）、注目を集めている。Scattered Spiderは主に、米国と英国出身の若い男性からなる英語を主に使う犯罪者からなり、巧妙なフィッシング攻撃を駆使して企業のコンピュータネットワークに侵入する手法を完成させた。

　米国司法省は2024年11月に、このグループに関連する5人を起訴した（注5）。ただし、起訴状には（MGM Resorts Internationalなどの）カジノに対する攻撃が含まれていない。当局はグループの幹部とされる英国籍の人物をスペインから米国に引き渡した。

　「Cybersecurity Dive」の取材によれば、Mandiant ConsultingのCTO（最高技術責任者）チャールズ・カーマカル氏が確認した米国への攻撃の関与が疑われる攻撃者の戦術は次の通りだ。狙った企業のヘルプデスクに電話をかけ、従業員をだましてパスワードをリセットさせた。これはソーシャルエンジニアリングを利用した典型的なビッシング（vishing）攻撃だ。ハルトクイスト氏によると、これらの攻撃の一部は成功したという。ただし、同氏はどの企業が標的になったのか、具体的な詳細は明かしていない。

　脅威情報の共有を目的としたグループRetail & Hospitality Information Sharing and Analysis Center（RH-ISAC）は「Scattered Spiderに関連する脅威を認識しているものの、具体的な情報を共有することはできない」と述べた。

　RH-ISACのCSO（最高戦略責任者）パム・リンドモーン氏は、Cybersecurity Diveに対して次のように語った。「われわれはこれらのインシデントを追跡し、会員企業向けに最新情報やガイダンスを発信するとともに、Googleと協力して脅威に関する説明会も実施している」

英国での攻撃を振り返って分かること

　英国における攻撃は大きな混乱をもたらした。Marks ＆ Spencerは2025年5月12日週の初めに（注6）、顧客データが盗まれたことを確認したが、クレジットカード情報はマスクされており、使用できなかったとした。

　Co-opは2025年5月14日に、攻撃者が同社のシステムに対してしつこく侵入を試み（注7）、顧客データにアクセスしたと発表した。この攻撃により2300店舗に及ぶ多くの食料品店で大規模な在庫不足が起きた。Co-opはコンピュータシステムの復旧を段階的に開始しており、同年5月18日までには新鮮な農産物や冷蔵冷凍食品を配送し、同年5月の初めから供給が制限されていた店舗の商品を補充するとしていた。

　これらの攻撃をScattered Spiderによるものと断定することは困難だった。なぜなら被害に遭った3社が攻撃の手口について限定的な情報しか提供していないためだ。英国当局は攻撃者がどのように侵入したのかを把握するために、これらの企業と連携している。

　問題をややこしくしているのはランサムウェア・アズ・ア・サービス（RaaS）のグループ「DragonForce」が英国での攻撃を実行したと主張していることだ。サイバーセキュリティ事業を営むGuidePoint Securityによると、DragonForceは暗号化ツールや攻撃を請け負う犯罪者が利用するダークWebのサイトを提供しているという。

　サイバーセキュリティサービスを提供するSecureWorksの研究者によると、最近DragonForceはアフィリエイトに参画している組織がDragonForceのツールを使用しながら独自のブランドを構築できるカルテルモデルに移行したという。Scattered SpiderとDragonForceの間に直接的な関係があるかどうかは不明だ。

　Palo Alto Networksの研究者によると、「Muddled Libra」という名称で同社が追跡しているScattered Spiderの手口を反映した脅威活動が著しく増加しているという。それらの手口には、ヘルプデスクや従業員を狙ったビッシングや、正規のシステム管理ツールを悪用する行為が含まれる。

　Palo Alto NetworksのセキュリティチームUnit 42でコンサルティングおよび脅威インテリジェンスを担当するサム・ルービン氏（シニアバイスプレジデント）は次のように述べた。

　「Muddled LibraやScattered Spiderに関連する個人が逮捕されたにもかかわらず、これらの攻撃者が開発した手法は引き続き活発に使用されており、今後も続くと思われる。こうした実績のあるソーシャルエンジニアリングの手法は、攻撃者が人間やシステムの脆弱（ぜいじゃく）性を狙うために、日常的に再利用され、今後も改良されていく」

出典：Researchers warn threat actors in UK retail attacks are targeting US sector（Cybersecurity Dive）
注1：John Hultquist（X）
注2：Defending Against UNC3944: Cybercrime Hardening Guidance from the Frontlines（Google Cloud Blog）
注3：Keith Wojcieszek（LinkedIn）
注4：MGM Resorts disruption linked to recent attacks against hospitality industry（Cybersecurity Dive）
注5：5 Defendants Charged Federally with Running Scheme that Targeted Victim Companies via Phishing Text Messages（United States Attorney’s Office）
注6：M&S says hackers gained access to customer data in April cyberattack（Cybersecurity Dive）
注7：UK retailer Co-op restoring systems following major cyberattack（Cybersecurity Dive）

原文へのリンク