編集部
2022年に初登場した脅威アクター「スキャッタードスパイダー」は、マイクロソフトの脅威インテリジェンスチームによると、新たに「RansomHub」と「Qilin」を攻撃手段に加えた。同グループは社会工学的手法やIDの侵害、VMware ESXiサーバーの標的化、そしてBlackCatランサムウェアの展開で知られている。昨年、カエサルズ・パレスやMGMエンターテイメントへの大規模ランサムウェア攻撃を実行したことで悪名高い。
スキャッタードスパイダーの背景と特徴
スキャッタードスパイダーは、2022年に初めて確認された脅威アクターである。主に社会工学的手法を駆使して、企業の従業員を欺き、認証情報を盗む手口で知られている。また、VMware ESXiサーバーをターゲットにし、BlackCatランサムウェアを展開することでも悪名高い。これまでに130以上の企業を標的とし、ランサム要求は2万5000ドルから数百万ドルに及ぶ。
このグループは、巧妙なフィッシング、SIMスワッピング、多要素認証(MFA)爆撃など、多様な技術と手法を用いる。特に注目されるのは、ITスタッフを装って企業の従業員を騙し、リモートアクセスツールを使用して持続的なアクセスを得る手口である。これにより、スキャッタードスパイダーは企業内部に侵入し、重要なデータやシステムを制御することが可能になる。
さらに、同グループは「オクトパス」キャンペーンで130以上の有名な組織をターゲットにし、マイクロソフトの脅威インテリジェンスチームがカバーする調査の中でも重要な役割を果たしている。これらの活動により、スキャッタードスパイダーは、企業にとって重大な脅威として認識されている。特に、昨年のカエサルズ・パレスやMGMエンターテイメントへの大規模ランサムウェア攻撃は、その攻撃の深刻さを物語っている。
新たな攻撃手段「RansomHub」と「Qilin」の詳細
スキャッタードスパイダーは、新たな攻撃手段として「RansomHub」と「Qilin」を導入した。RansomHubはランサムウェア・アズ・ア・サービス(RaaS)として提供され、他の脅威アクターにも広く利用されている。これにより、RansomHubは現在最も普及しているランサムウェアファミリーの一つとなっている。RaaSは、攻撃者が特定の技術的知識を持たなくても、容易にランサムウェア攻撃を実行できるようにするサービスである。
一方、Qilinランサムウェアは、元々「Agenda」という名前で2022年に登場したが、すぐにリブランドされた。Qilinは、企業のVMware ESXiサーバーを標的にするカスタマイズ可能なLinux暗号化ツールを開発しており、これにより多様な企業に対して攻撃を実行できる。マイクロソフトによると、Qilinは既に130以上の企業を標的にしており、その被害額は莫大である。
これらの新たな攻撃手段の導入により、スキャッタードスパイダーはさらに攻撃の幅を広げ、より多くの企業を脅威にさらしている。企業はこれに対して、より高度な防御対策を講じる必要がある。特に、RansomHubのようなRaaSは、攻撃者の数を増加させ、被害を拡大させる要因となるため、注意が必要である。
主要ターゲットと被害状況
スキャッタードスパイダーの主要ターゲットは、金融機関、エンターテイメント業界、テクノロジー企業など多岐にわたる。昨年のカエサルズ・パレスやMGMエンターテイメントへの攻撃は、その代表例である。これらの攻撃により、企業は大規模なデータ漏洩や業務停止の被害を受け、多額のランサムを要求された。
VMware ESXiサーバーを標的とする手口も広く見られ、特にQilinランサムウェアによる攻撃が増加している。Qilinはカスタマイズ可能な暗号化ツールを使用し、企業の重要なデータを暗号化して身代金を要求する。この手法により、企業はシステムの復旧やデータの回復に多大なコストを強いられる。
また、フィッシングやMFA爆撃、SIMスワッピングといった手法も多用されており、これらの攻撃により、企業の認証情報が盗まれ、不正アクセスが行われる。特に、ITスタッフを装った社会工学的手法は、従業員の不注意やセキュリティ意識の低さを突くものであり、非常に効果的である。
このような被害状況に対して、企業はセキュリティ意識を高め、従業員教育や多層的な防御対策を強化する必要がある。特に、ランサムウェア攻撃に対する事前の準備や対応策を整えることが重要である。
防御対策と企業への警告
スキャッタードスパイダーの脅威に対抗するため、企業は包括的な防御対策を講じる必要がある。まず、従業員教育を徹底し、フィッシングや社会工学的攻撃に対する認識を高めることが重要である。これにより、従業員が不審なメールやメッセージに対応する際の警戒心を持つことができる。
次に、多要素認証(MFA)の導入と強化が不可欠である。MFAは、アカウントへの不正アクセスを防ぐための有効な手段であり、特に高リスクのアカウントには必須である。また、MFA爆撃に対する対策として、MFAの通知設定を見直し、異常なログイン試行に対するアラートを強化することが推奨される。
さらに、定期的なセキュリティ評価と脆弱性管理を実施し、システムやネットワークのセキュリティ状態を常に把握することが重要である。特に、VMware ESXiサーバーのセキュリティ強化やパッチ管理を徹底し、既知の脆弱性を早急に修正することが求められる。
最後に、インシデント対応計画を策定し、実際の攻撃発生時に迅速かつ効果的に対応できる体制を整えることが必要である。これには、データバックアップの定期的な実施や、ランサムウェア攻撃に対する復旧手順の確立が含まれる。企業はこれらの対策を講じることで、スキャッタードスパイダーの脅威に対抗し、被害を最小限に抑えることが可能となる。