Microsoftが「最も危険な金融犯罪グループ」と評するScattered Spider その実態は？：Cybersecurity Dive

ラスベガスのカジノ業界を狙った一連のサイバー攻撃の背後にいる攻撃者はソーシャルエンジニアリング攻撃の達人が集まった巧妙な組織だ。

[Matt Kapko，Cybersecurity Dive]

　MGM Resorts（注1）やCaesars Entertainment（注2）、Clorox（注3）に対する大規模なサイバー攻撃を主張する攻撃者グループは、ソーシャルエンジニアリング攻撃の専門家で構成されている。連邦サイバー当局は、より多くの被害者に名乗り出るよう促している。

　ランサムウェアグループの「Scattered Spider」は、一部の攻撃で「AlphV」ランサムウェアを展開している。連邦サイバー当局は、2023年11月16日（現地時間、以下同）の勧告の中で「これらのグループはリモートアクセスを獲得したり、多要素認証を回避したりするために複数の技術とツールを使用している」と警告した（注4）。

ソーシャルエンジニアリング攻撃の専門家が集まるグループに当局も警戒

　米国連邦調査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、組織が攻撃を阻止したり影響を軽減したりするために、2023年11月の調査から得られた技術的な詳細情報とデータを共有している。しかし、当局は「報告の不足が法執行機関の措置を妨げているため、さらなる情報が必要だ」と述べている。

　「Spattered Spiderは頻繁に活動している。攻撃の予防が重要であり、より多くの被害組織がCISAまたはFBIにサイバー攻撃について報告する必要がある」と当局は指摘している。

　FBIの高官は、2023年11月16日のメディアブリーフィングで「これらの侵入に関して、詳細かつ正確な情報をタイムリーに得られなければ、私たちは対処できない。手に入るデータが多ければ多いほど、それらのデータにおけるつながりを見つけだし、攻撃者に対して行動を起こせる」と話している。

　サイバーセキュリティ専門家によると、Scattered Spiderの背後にいる犯罪者を捕まえるためには、逮捕や妨害、摘発につながるミスを法執行機関が特定する必要がある。そのためにより多くの情報が必要だ。

　Recorded Futureの脅威インテリジェンスアナリストであるアラン・リスカ氏は「これらの攻撃は複雑であり、政府機関であっても法医学的な証拠を収集するのは難しい。Scattered Spiderは熟練しているが、熟練した攻撃者であってもミスを犯す。政府機関がインシデントから収集できるデータが多ければ多いほど、それらのミスを発見しやすく、Scattered Spiderのメンバーを逮捕できる可能性が高くなる」と述べている。

Microsoftが「最も危険な金融犯罪グループ」と評価

　FBIによると、Scattered Spiderは最近、侵入後にファイルを暗号化しているという。このグループは、被害者固有のドメインを活用した広範なフィッシングキャンペーンを展開し、大企業のネットワークに侵入する。それらのキャンペーンは、「Okta」などのシングルサインオン（SSO）サービスや、ITサービスデスクの合法的なポータルに見えるように設計されている。

　脅威グループは、組織内で最も価値のあるユーザーの認証情報を特定し、SIMスワップを実施した後、ITヘルプデスクの担当者を説得してパスワードまたは多要素認証のためのトークンをリセットさせ、ユーザーのSSOアカウントを乗っ取る。

　サイバーセキュリティ事業を営むSophosのディレクターであり、グローバル分野におけるCTO（最高技術責任者）でもあるチェスター・ウィスニェフスキ氏によると、CISAとFBIの共同勧告には、ランサムウェアの操作に関する戦術、技術、手順（TTP）と侵害の指標（IOC）について、これまでで最も詳細かつ包括的なリストの1つが含まれているという。

　「このグループは、被害者を執拗（しつよう）に狙うために使用するツールの数や組み合わせが際立っている」とウィスニェフスキ氏は述べた。

　「私はScattered Spiderの活動から教訓を得た。私を標的にした場合、彼らは私のネットワークに侵入できるだろう。彼らは忍耐力を持ち、執念深く、非常に創造的なアプローチを実行する。彼らは社会的なスキルと技術的なスキルを組み合わせて使用している」（ウィスニェフスキ氏）

　Microsoft Threat Intelligenceは2023年10月に「Octo Tempest」と名付けたこのグループを「現在活動中の最も危険な金融犯罪グループの一つ」と評した（注5）。

　Scattered Spiderの攻撃者は検知を回避するために、少なくとも10種類の正規のツール、3種類のマルウェアの亜種、42種類の戦術やテクニックを駆使している。連邦サイバー当局によって観測された攻撃や連邦サイバー当局に報告された攻撃で、それらの痕跡が確認された。

　FBIの高官によると、Scattered Spiderはここ2週間から3週間のうちに、多要素認証を経由して、あるネットワークにアクセスしたが、その組織はログを通じて悪意のある活動をすぐに検出し、攻撃者をネットワークから追い出すことに成功したという。

　サイバー犯罪では攻撃者が操作ミスを犯すことで当局にとって良い展開が起こる場合がある。

　「彼らのような集団が人々のネットワークを荒らし回れば、必ずミスを犯す」とウィスニエフスキー氏は述べた。

　FBIは、Scattered Spiderの活動、所属、関係者の所在など、現在進行中の捜査の詳細については言及を避けた。

　FBIの高官は「行動が観察されないからといって、彼らが行動を起こしていないわけではない。このような事態に対処するために、私たちは努力をしており、多大なリソースを投入している」と話している。

（注1）MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
（注2）Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
（注3）Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）
（注4）Scattered Spider（CISA）
（注5）High-profile summer attacks linked to same aggressive ransomware group（Cybersecurity Dive）

原文へのリンク