若手が集まるサイバー犯罪のベンチャー「Scattered Spider」 その内情に迫る:Cybersecurity Dive
悪名高いハッカーグループ「Scattered Spider」は世界各国の政府当局から注目を浴びている。このグループはさまざまな点から既存のサイバー犯罪グループと比較して特異な存在だ。その内情や活動遍歴を解説しよう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ハッカーグループ「Scattered Spider」は、「Muddled Libra」および「Octo Tempest」「Scatter Swine」「UNC3944」という別名でも知られている。このハッカーグループはソーシャルエンジニアリングの手口を使って企業をだまし、ユーザー認証情報を入手したり、多要素認証を回避したりすることを得意としている。侵入経路を確保した後、企業のネットワークに長期間とどまって企業データを盗み、身代金を要求する。
若手が集まるサイバー犯罪のベンチャー「Scattered Spider」の内情とは?
米国連邦捜査局(FBI)と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Scattered Spiderが複数の業界を狙って攻撃するために新手口を使っていると2025年7月29日(現地時間、以下同)に警告した(注1)。
Scattered Spiderはこれまでにホテル業界や通信業界、小売業界を標的としており、各業界において複数の組織を攻撃した後、次の業界へと移る傾向がある。本稿は今、非常に勢いがあるこの脅威グループがサイバー犯罪の中でもなぜ特異な存在なのか、その内情や手口を詳細に解説する。
CISAでサイバーセキュリティを担当するクリス・ブテラ氏(エグゼクティブアシスタントディレクター代理)は、警告に関する声明の中で次のように述べた。
「Scattered Spiderは米国内の組織における深刻かつ継続的な脅威となっており、ソーシャルエンジニアリングをはじめとする巧妙な手口を使って業務を混乱させ、被害者を恐喝している。グループの活動は複数の業界に影響を及ぼしており、ランサムウェアが国家安全保障や経済の安定に引き続き重大なリスクをもたらしていることを示している」
研究者たちはScattered Spiderをサイバー犯罪の世界の中でも特異な存在だと見なしている。グループは主に米国と英国出身の英語を話す若い男性で構成されており、中には10代のメンバーも多く含まれる。当局の推計によると、規模は最大で1000人に達する可能性があるという。
Scattered Spiderは「The Com」と呼ばれる地下組織と関係があり(注2)、専門家によると、この組織は恐喝やマネーロンダリングから、未成年を狙った犯罪や暗号資産の窃盗、SIMスワップまでさまざまな犯罪に関与しているという。
サイバーセキュリティ事業を営むPalo Alto Networksによると、Scattered Spiderは一枚岩の中央集権的な組織として活動しているわけではなく、複数の下部グループに分かれており、それぞれが独自の標的リストや好んで使う手口を持っているようだ。
Scattered Spiderは2023年9月にホテルおよびカジノ業界大手のMGM Resortsを狙ってランサムウェア攻撃を実施し(注3)、注目を集めた。ハッカーたちは同社の施設の運営を数日間にわたって混乱させ、宿泊客を客室から締め出し、エレベーターを停止させ、スロットマシンやATMを使えなくした。攻撃による損害は1億ドル以上になるという(注4)。
また研究者たちは、家庭用品の大手メーカーであるCloroxが2023年に受けたハッキングにもScattered Spiderが関与していたと考えている。攻撃により同社は多くのシステムを停止せざるを得なくなり、その結果、数カ月にわたって製品不足が続いた。2025年7月の初めにCloroxは3億8000万ドルの損害賠償を求める訴訟を起こしている。訴訟では、ITベンダーのCognizantが、ハッカーの本人確認をせずに認証情報を渡すという義務違反を犯したとの主張がなされている。
活動の拠点は米国へ? Scattered Spider暗躍の遍歴
2024年11月、米国司法省はフィッシング用のショートメッセージを使って従業員の認証情報を盗み出し、数百万ドルを奪ったとして5人を起訴した(注5)。セキュリティ研究者たちは、この活動をScattered Spiderによる最初の連続した犯罪行為と位置付けており、2021年9月から2023年4月までの間に45社が被害を受けたと説明している。
スペイン当局は被告の1人である23歳の英国人、タイラー・ブキャナン氏を逮捕し(注6)、2025年4月に米国へ身柄を引き渡した。起訴と身柄の引き渡しにより、一部のセキュリティ専門家は、当局がScattered Spiderの無力化に成功したと考えるようになった。
しかし、2025年4月にScattered Spiderは英国の大手小売企業であるMarks&SpencerおよびHarrods、Co-opの3社を標的に一連のソーシャルエンジニアリング攻撃を仕掛けた。同年6月にMarks&Spencerの会長は英国議会の議員らに対し(注7)、「他にも英国の大手企業2社がハッキングの被害を受けた可能性があるが、まだそれを公表していない」と述べた。
英国のサイバー監視センターによると、2025年4月に始まったScattered Spiderによる直近の一連の攻撃は推定で4億4000万ポンドの損害をもたらしたという。
2025年7月の初めに英国当局はScattered Spiderの攻撃に関連して4人を逮捕した(注8)。警察は大量のPCも押収しており、さらなる逮捕につながる証拠を得るために分析を進めている。
一方、Scattered Spiderは2025年5月に標的を米国に移し、ランジェリーブランドのVictoria’s Secretや、ノースカロライナ州に拠点を置く老舗デパートのBelk、スーパーマーケットチェーンのWhole Foodsの卸業者であるUnited Natural Foodsなど、大手小売企業やその取引先に対して一連の攻撃を仕掛けた。
United Natural Foodsは、情報漏えいにより最大で4億ドルの売上高損失が発生する可能性があると2025年7月に警告した。
2025年6月以降、Scattered Spiderは攻撃対象を新たな業界へと広げ、大手保険企業や航空企業、その他の運輸関連企業を狙っている。最近被害を受けた企業には、保険企業のAflacやAllianz Life(注9)(注10)、Philadelphia Indemnity Insuranceが含まれる(注11)。また、航空企業であるHawaiian AirlinesやQantasに対するハッキングもScattered Spiderの犯行の可能性がある(注12)(注13)。
(注1)FBI, CISA warn about Scattered Spider’s evolving tactics(Cybersecurity Dive)
(注2)Alert Number: I-072325-3-PSA July 23, 2025(FBI)
(注3)MGM Resorts discloses cyber incident in filing with SEC(Cybersecurity Dive)
(注4)MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack(Cybersecurity Dive)
(注5)5 Defendants Charged Federally with Running Scheme that Targeted Victim Companies via Phishing Text Messages(United States Attorney’s Office)
(注6)CRIMINAL COMPLAINT BY TELEPHONE OR THER RELIABLE ELECTRONIC MEANS(UNITED STATES DISTRICT COURT)
(注7)M&S chairman calls for mandatory disclosure of material cyberattacks(Cybersecurity Dive)
(注8)M&S chairman calls for mandatory disclosure of material cyberattacks(Cybersecurity Dive)
(注9)Aflac discloses cyber intrusion linked to wider crime spree targeting insurance industry(Cybersecurity Dive)
(注10)Allianz Life discloses massive data breach linked to supply-chain attack(Cybersecurity Dive)
(注11)Philadelphia Indemnity Insurance discloses June data breach(Cybersecurity Dive)
(注12)Scattered Spider appears to pivot toward aviation sector(Cybersecurity Dive)
(注13)Qantas says cyberattack affected 5.7 million customers(Cybersecurity Dive)
関連記事
生成AIがついに実戦投入 革新的なマルウェア「LAMEHUG」のヤバイ手口
サイバー攻撃の実行フェーズで生成AIを直接利用する事例がついに見つかった。新型マルウェア「LAMEHUG」は一体どのように生成AIを悪用するのか。その手法と攻撃者の狙いに迫る。
Excelの外部リンク無効化へ Microsoftがセキュリティ強化に向けた新方針
Microsoftは2025年10月から、Excelにおいてブロック対象のファイル形式への外部リンクをデフォルトで無効化する仕様を段階的に導入する。業務フローへの影響を避けるため早期の対応が推奨されている。
EDR無効化ツールがランサムグループ間で大流行 複数ベンダーの製品が標的か
SophosはEDR無効化ツールの分析結果を公表し、複数のランサムウェア攻撃において、難読化や偽装ドライバーを使った検出回避の手法が確認された。脅威グループ間での技術共有の兆候があり、攻撃のエコシステム化が進んでいる。
8万4000通のメールを分析して判明した“高品質”なフィッシングの条件とは?
高度なフィッシングメールには人間心理の隙を巧妙に突いた文面が採用されています。本稿は8万4000通を分析して判明した“高品質”なフィッシングメールの条件と、これに対抗するための心理的アプローチを組み込んだ4つの防御策を紹介します。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。