2025年9月18日、サイバーセキュリティ界に大きなニュースが飛び込んできました。英米の司法当局が連携し、悪名高きハッカー集団「Scattered Spider」のメンバー2名を逮捕・起訴したのです。
この事件、実は私たち一般企業にとって「対岸の火事」では済まされない重要な教訓が詰まっています。現役のフォレンジックアナリストとして、今回の攻撃手法を詳しく分析し、あなたの会社が同じような被害に遭わないための対策をお伝えします。
逮捕された19歳・18歳のハッカーたち
今回逮捕されたのは、東ロンドン在住のThalha Jubair(19歳)とウエストミッドランズ在住のOwen Flowers(18歳)の2名。驚くべきことに、まだ10代の若者たちが、ロンドン交通局という英国の重要インフラを麻痺させる規模の攻撃を行っていたのです。
特にJubair容疑者については、米司法省から少なくとも120件の侵入・恐喝事件に関与し、1億1,500万ドル超(約170億円)もの身代金支払いに関わったとして別途起訴されています。
ロンドン交通局攻撃の実際の被害
今回の攻撃でロンドン交通局が受けた被害は深刻でした:
- 運行システムへの影響(幸い完全停止は免れる)
- 内部システムの機能停止
- オンラインサービスの利用不可
- 払い戻し処理システムの障害
- 顧客データ(氏名・連絡先・住所等)の流出
- 被害総額:約3,900万ポンド(約67億円)
私がこれまで調査してきた事件の中でも、これほど大規模な公共交通機関への攻撃は稀です。もしこれが日本の JR東日本や東京メトロで起きていたらと考えると、背筋が寒くなります。
Scattered Spiderの恐るべき攻撃手法
Scattered Spider(別名:Octo Tempest、UNC3944、0ktapus)は、従来のサイバー犯罪グループとは一線を画す特徴があります。
1. 巧妙なソーシャルエンジニアリング
彼らの最大の武器は、英語圏の文化に精通した高度なソーシャルエンジニアリングです。実際の攻撃では:
- IT部門を装って従業員に直接電話をかける
- 「システムメンテナンスのため」などの理由でパスワード変更を要求
- 正規の手続きを装って機密情報を聞き出す
私が過去に調査した中小企業の事例では、経理担当者が「社長からの指示」と信じ込み、VPN接続情報を電話で教えてしまったケースがありました。
2. MFA疲弊攻撃(MFA Fatigue)
多要素認証(MFA)を突破する新手の手法です:
- 標的のアカウントに対して大量の認証要求を送信
- 深夜や早朝など、従業員が疲れている時間を狙う
- 「間違って承認ボタンを押してしまう」心理を悪用
3. SIMスワッピング
携帯電話番号を乗っ取る手法で、SMS認証を無効化します。日本でも被害が増加している手口です。
4. IDプロバイダ偽装
Microsoft 365やGoogle Workspaceなど、企業が日常的に使うサービスの偽サイトを作成し、認証情報を盗み取ります。
二重恐喝ランサムウェア攻撃の流れ
Scattered Spiderの攻撃は、以下のような段階的なプロセスで進行します:
- 初期侵入:ソーシャルエンジニアリングまたはフィッシングメール
- 権限昇格:正規アカウントの乗っ取り
- 横展開:ネットワーク内での拡散
- データ窃取:機密情報の外部流出
- 暗号化:システムファイルの暗号化
- 二重恐喝:復旧と情報公開停止の両方で身代金要求
この手法の恐ろしさは、データを復旧できたとしても、すでに流出した情報を盾に継続的な脅迫を受ける点です。
中小企業でも狙われる現実
「うちは小さな会社だから大丈夫」と思っていませんか?実はそれが一番危険な考え方です。
私が最近調査した事例では:
- 従業員30名の製造業:取引先情報を盾に500万円の身代金要求
- 地方の税理士事務所:顧客の税務情報流出で業務停止に
- 小規模IT企業:開発中のソフトウェアソースコードを暗号化され、納期に間に合わず取引先から損害賠償請求
中小企業ほど、セキュリティ対策が後回しになりがちで、格好の標的となっているのが現実です。
今すぐ実施すべき対策
1. 従業員教育の徹底
技術的な対策の前に、まず人的セキュリティの強化が必要です:
- 定期的なフィッシング訓練の実施
- 電話での情報確認時の本人確認手順の策定
- 「急ぎ」「緊急」を装う詐欺手法の周知
2. エンドポイントセキュリティの強化
従来のウイルス対策ソフトでは不十分です。アンチウイルスソフト
なら、AIを活用した高度な脅威検知機能で、未知のマルウェアや怪しい動作をリアルタイムでブロックできます。
3. ネットワークアクセスの保護
テレワークが当たり前となった今、VPN
の利用は必須です。企業の機密情報にアクセスする際は、必ず暗号化された通信経路を確保しましょう。
4. Webサイトの脆弱性対策
自社のWebサイトが攻撃の踏み台にされることもあります。Webサイト脆弱性診断サービス
で定期的にセキュリティチェックを行い、脆弱性を事前に発見・修正することが重要です。
5. バックアップとインシデント対応計画
- 重要データの定期的なオフラインバックアップ
- 復旧手順の文書化と定期的な訓練
- サイバー攻撃を受けた際の対応チームの組成
- 法執行機関や専門業者への連絡先の整備
フォレンジック調査の重要性
万が一サイバー攻撃を受けた場合、適切なフォレンジック調査が不可欠です。私たちが行う調査では:
- 攻撃の侵入経路の特定
- 流出した情報の範囲確定
- 攻撃者の痕跡分析
- 再発防止のための根本的対策の提案
これらの情報は、保険請求や法的対応、そして今後の対策立案に欠かせません。
まとめ:サイバーセキュリティは経営課題
今回のScattered Spider事件は、サイバーセキュリティがもはやIT部門だけの問題ではなく、経営そのものに直結する課題であることを改めて浮き彫りにしました。
19歳の青年が世界的な交通インフラを麻痺させ、数十億円規模の被害をもたらすという事実は、サイバー空間におけるリスクの深刻さを物語っています。
しかし、適切な対策を講じれば、このような脅威から組織を守ることは可能です。まずは基本的なセキュリティ対策から始めて、段階的に防御力を高めていきましょう。
明日、あなたの会社が攻撃を受けても慌てることがないよう、今すぐ行動を起こしてください。セキュリティ投資は、決してコストではなく、事業継続のための重要な投資なのです。
