無秩序なサイバー攻撃組織「Scattered Spider」に注意–クラウドストライク

今回は「無秩序なサイバー攻撃組織「Scattered Spider」に注意–クラウドストライク」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米セキュリティ企業のCrowdStrikeは、「Scattered Spider」と呼ばれるサイバー攻撃組織への警戒を呼び掛けている。アジア太平洋地域では、日本とオーストラリアの組織が狙われているといい、無秩序な攻撃活動が特徴だという。

　CrowdStrike Counter Adversary Operations担当責任者のAdam Meyers氏によると、Scattered Spiderの攻撃活動は2022年3月ごろから世界的に拡大している。同氏は、ZDNET Japanの取材に「これまでに52以上の組織での被害を確認しており、アジア太平洋地域は日本とオーストラリアが標的にされ、オーストラリアでは金融とメディア、日本では航空宇宙と防衛の組織で被害が発生している」と説明した。また、最近の一部報道によれば、ランサムウェアを使ったScattered Spiderによる攻撃で、米国のカジノリゾート大手が多額の損失を伴う被害を受けたとされる。

　Meyers氏によれば、Scattered Spiderには特定の攻撃対象や戦略、パターンなどが認められず、本質的に手口が無秩序であることから対策が難しいという。同社は、2023年1月時点で、Scattered Spiderが認証情報を狙うフィッシングやソーシャルエンジニアリングを組み合わせ、多要素認証のワンタイムパスワードなどを窃取して正規ユーザーになりすました不正アクセスを試みることを突き止めていた。

　さらに、不正アクセスに成功すると、Scattered Spiderは正規のリモートアクセスツールなどを悪用して永続的なアクセス権限を維持し、「Bring Your Own Vulnerable Driver」と呼ばれる手法も用いる。これは「Windows」のセキュリティモデルを悪用するものといい、攻撃者は正しく署名された古い脆弱（ぜいじゃく）なドライバーソフトウェアを使ってシステムの特権昇格を図る。特権の奪取に成功した攻撃者は、OSやシステム上で各種のセキュリティ製品や機能を無効にでき、セキュリティシステムによる検知を回避できるようになる。

　Scattered Spiderは、こうした手口などによってさらなる攻撃を実行するための環境を構築しており、そこから無秩序なサイバー攻撃活動を展開しているという。

　Meyers氏は、最近では一部ベンダーが製品アーキテクチャーに改ざん防止機能を組み込むなど、Scattered Spiderに対する防御で一定の進展が見られると解説する。ただ、Scattered Spiderが上述の手口で強固な攻撃基盤を構築していると見られることから、Meyers氏は下記の対策を推奨している。

　現状では、先進的なサイバーセキュリティソリューションと多層防御のさらなる要塞（ようさい）化を図りつつ、エンドポイントやネットワーク、クラウド、IDなどの監視を強化し、パスワードポリシーの強化や従業員などへのセキュリティ教育、トレーニングも行うなど広範なセキュリティ対策を実施することで、リスクを低減することが最も重要だとしている。