英国当局が警鐘 小売業界を狙ったランサムウェア攻撃が相次ぐ：Cybersecurity Dive

英国ロンドンに本拠を置く有名百貨店であるHarrodsを含む、3つの大手小売企業にランサムウェア攻撃が仕掛けられた。3つの攻撃の関連性は不明だが、新興のランサムウェアグループDragonForceが関係しているとみられる。

[David Jones，Cybersecurity Dive]

　英国ロンドンに本拠を置く有名百貨店であるHarrodsを含む、3つの大手小売企業に対する一連のサイバー攻撃を受けて、英国当局は各組織に対し警戒を緩めないよう呼びかけている。

狙われる小売業界　新興ランサムウェアグループが関与か

　Harrodsは、未遂だったもののハッキングが実行されたことを認めている。Harrodsに対するハッキングは、攻撃者が別の攻撃の中で小売業者であるCo-opからデータを盗み（注1）、大手小売企業であるMarks＆Spencerの業務を妨害した数日後に発生した。

　英国国家サイバーセキュリティセンター（NCSC）は、攻撃を報告した組織と緊密に連携し（注2）、侵入の実態をより深く把握するとともに、業界全体に向けた助言している。

　NCSCのリチャード・ホーン氏（CEO）は、2025年5月1日（現地時間、以下同）に発表した声明で次のように述べた。

　「これらのインシデントは全ての組織に警鐘を鳴らしている。各組織のリーダーたちは、攻撃を未然に防ぎ、効果的に対応および復旧できるよう適切な対策を講じるために、NCSCのWebサイトに掲載されている助言に従ってほしい」

　2025年5月4日に公開されたブログ記事で（注3）、NCSCの幹部は、小売業界がランサムウェア攻撃による潜在的な影響を軽減するために取るべき対策について説明した。

　NCSCのジョナソン・エリソン氏（ナショナル・レジリエンス・ディレクター）と、オリー・ホワイトハウス氏（最高技術責任者）は次のように記している。

　「幾つかの手掛かりは得ているものの、これらの攻撃が互いに関連しているのか、単一の攻撃者による組織的なキャンペーンなのかどうか、それとも全く無関係なのかについて、現時点で断定できる状況にない」

　エリソン氏とホワイトハウス氏はセキュリティチームに対して、多要素認証の導入や、「Microsoft Entra ID Protection」を活用したリスクの高いログインの確認、ヘルプデスクのログイン手順の見直しなどのさまざまな対策を講じるよう呼びかけた。

　今回のハッキングに関与しているグループが単体か複数かは、まだ明らかになっていないが、「Bloomberg」は「DragonForce」と名乗るグループが犯行声明を出したと報じている（注4）。

　サイバーセキュリティ事業を営むGuidePoint Securityの脅威リサーチャーによると、DragonForceはランサムウェア・アズ・ア・サービス（RaaS）を提供する組織であり、攻撃ツールやダークWebのサイトを用意し、契約したハッカーによる攻撃を実行しているという。また、サイバーセキュリティに関するニュースを取り扱う「Bleeping Computer」は2025年4月下旬に、M＆Sに対するハッキングは「Scattered Spider」を再編成したグループによるものだと報じた（注5）。Scattered Spiderはリゾート事業を営むMGM Resortsを2023年に攻撃したことで知られている（注6）。

　GuidePointのジャスティン・ティモシー氏（脅威インテリジェンスコンサルタント）は『Cybersecurity Dive』の電子メール取材に対して次のように述べた。

　「『Alphv』と『RansomHub』はいずれも既に解体されており、『Scattered Spider』がランサムウェア活動の新たな拠点としてDragonForceを選んだ可能性がある」

　Co-opの広報担当者は、ハッカーが現在および過去の多数の会員の氏名と連絡先情報を取得したことを認めた。盗まれた情報にはパスワードや銀行情報、クレジットカード情報は含まれていなかったという。

　「当社のシステムへの不正アクセスを試みる悪質な攻撃が引き続き継続的に発生している。これは非常に複雑な状況であり、NCSCおよび国家犯罪対策庁（NCA）と連携しながら現在も調査を続けている」（Co-opの広報担当者）

　広報担当者によると、現在もHarrodsは、Knightsbridge店および空港店、H beauty店、Harrods.comを通じて顧客へのサービス提供を継続しているという。

　Marks＆Spencerはコメントの要請には応じなかったが、2025年4月23日の声明で（注7）、一部の業務をオフラインに切り替え、非接触型決済の処理を停止したと発表した。Click＆Collectの注文に関する店頭受け取りを一時停止し、オンライン注文の配送に遅延が生じる可能性があると警告した。さらに同年4月25日には、同社のWebサイトおよびモバイルアプリでの注文受付も一時停止した（注8）。

（注1）Cyber Incident（coop）
（注2）NCSC statement: Incident impacting retailers（NCSC）
（注3）Incidents impacting retailers recommendations from the NCSC（NCSC）
（注4）UK Grocer Co-op Says Hackers Obtained Customer Date（Bloomberg）
（注5）Marks & Spencer breach linked to Scattered Spider ransomware attack（BleepingComputer）
（注6）MGM Resorts’ cyberattack headache continues as regulators launch investigations（Cybersecurity Dive）
（注7）CYBER INCIDENT - FURTHER UPDATE（M&S）
（注8）Cyber Incident - Further Update（M&S）

原文へのリンク