MFA回避を狙う巧妙なソーシャルエンジニアリング攻撃が登場 IT企業が標的か：Cybersecurity Dive

サイバー脅威グループ「Scattered Spider」はマネージドサービスプロバイダー（MSP）およびITベンダーを標的にしたソーシャルエンジニアキャンペーンを展開している。この攻撃は多要素認証の回避などを狙っているようだ。

[David Jones，Cybersecurity Dive]

　Reliaquestが2025年6月6日（現地時間、以下同）に発表したレポートによると（注1）、サイバー脅威グループ「Scattered Spider」はマネージドサービスプロバイダー（MSP）およびITベンダーを標的としており、それらの企業の顧客に侵入するための高度なキャンペーンを展開しているという。同グループは英国や欧州、米国の複数の小売ブランドに対するハッキングへの関与も疑われている。

MFA回避を狙う巧妙なソーシャルエンジニアリング攻撃の詳細

　この脅威グループは認証情報を入手し、多要素認証（MFA）を回避するためにソーシャルエンジニアリングの手法を使って従業員をだまし、さまざまな組織へのアクセス権を得ている。その手法とは。

　Reliaquestのブランドン・ティラード氏（脅威リサーチディレクター）は、次のように述べた。

　「Scattered Spiderは、ソーシャルエンジニアリングの手法を使って、上級幹部や高い職位を有する従業員になりすますことで知られている。この脅威グループはパスワードのリセットや特権アクセスの付与、新しいMFAデバイスの登録など、緊急かつもっともらしい依頼をもってヘルプデスクのスタッフに連絡してくる」

　分析によると、Scattered Spiderのドメインの81％がテクノロジーベンダーになりすましていた。また、Scattered Spiderの標的の約70％は、テクノロジーおよび金融、小売の業界に所属していた。

　Reliaquestは、2022年第1四半期から2025年までの間に、サイバーフォレンジック研究者たちによって共有された侵害の痕跡（IoC）に基づき、Scattered Spiderに関連するとされる600以上のドメインを分析した。

　研究者たちは、これまでに確認されている脅威活動のパターンに基づいてドメイン登録を特定した。ドメインやサブドメインには、「Okta」「helpdesk」「vpn」「sso」といった特定のキーワードが含まれていた。

　以前にも報じられている通り（注2）、Scattered SpiderはDragonForceと連携し、リモートアポート用のソフトウェアである「SimpleHelp」の脆弱（ぜいじゃく）性を悪用してMSPを標的にした。サイバーセキュリティ企業であるSophosの研究者たちは2025年5月下旬に、この攻撃について公表している。

　さらに、Financial Timesのレポートによると（注3）、インドの大手ITサービス企業であるTata Consultancyは、大手小売企業のMarks & Spencerへの攻撃において、ハッカーがTata Consultancyを第三者ベンダーとして利用した可能性があるかどうかを調査しているようだ。

　Tataの広報担当者は、現時点ではコメントを公表していない。

（注1）Scattered Spider Targets Tech Companies for Help-Desk Exploitation（RELIAQUEST）
（注2）FBI, CISA warn Play ransomware targeting critical infrastructure with evolving techniques（Cybersecurity Dive）
（注3）Tata Consultancy Services carries out internal probe into M&S hack（FINANCIAL TIMES）