Microsoftが警告するサイバー犯罪者の手口 VMwareも狙う

Microsoftは悪名高いサイバー犯罪グループ「Scattered Spider」を分析して、手口の変化についてまとめた。

[David Jones，Cybersecurity Dive]

　Microsoftは2025年7月16日（現地時間、以下同）、サイバー犯罪グループ「Scattered Spider」が同年4月以降、航空企業や保険企業、小売業界への攻撃で新技術を使っていることを確認したと発表した。

Microsoftが警告するサイバー犯罪者の手口　VMwareも狙う

　Microsoftのセキュリティチーム「Microsoft Defender Security Research Team」のブログ投稿によると（注1）、Microsoftが「Octo Tempest」として追跡しているScattered Spiderは、依然として自分たちの得意とするソーシャルエンジニアリングの手口を使い続けている。

　これはユーザーになりすましてヘルプデスクに連絡して、パスワードのリセットを依頼する手口だ。こうして企業システムへのアクセス権を得ているという。このような攻撃はセキュリティソリューションでは防げないため、防御が困難だ。

　一方、Scattered Spiderはショートメッセージサービス（SMS）や、中間者攻撃（adversary-in-the-middle）と呼ばれる手法も使用している。

　さらに最近の攻撃では、「DragonForce」というランサムウェアを使って、「VMware ESXi」の侵害に重点を置いているようだ。

クラウドを狙うか、オンプレミスか

　Microsoftのブログ投稿によると、Scattered SpiderはこれまでクラウドサービスのID権限を悪用してオンプレミスのネットワークに侵入していたが、最近は、はじめにオンプレミスの環境やインフラを標的にし、その後にクラウドサービスへのアクセスに移行する形に手口を変化させているという。

　研究者は直近数カ月の間に英国と米国の小売業者を狙った一連の攻撃にScattered Spiderが関与していたと考えている。さらに専門家が指摘するところによると、Scattered Spiderは保険企業や航空企業（注2）、その他の業界の企業に対する最近の一連の攻撃にも関わっているようだ。

出典：Scattered Spider expands its roster of tactics in recent hacks（Cybersecurity Dive）
注1：Protecting customers from Octo Tempest attacks across multiple industries（Microsoft）
注2：Scattered Spider appears to pivot toward aviation sector（Cybersecurity Dive）

原文へのリンク