米セキュリティ企業のCrowdStrikeは、「Scattered Spider」と呼ばれるサイバー攻撃組織への警戒を呼び掛けている。アジア太平洋地域では、日本とオーストラリアの組織が狙われているといい、無秩序な攻撃活動が特徴だという。
CrowdStrike Counter Adversary Operations担当責任者のAdam Meyers氏によると、Scattered Spiderの攻撃活動は2022年3月ごろから世界的に拡大している。同氏は、ZDNET Japanの取材に「これまでに52以上の組織での被害を確認しており、アジア太平洋地域は日本とオーストラリアが標的にされ、オーストラリアでは金融とメディア、日本では航空宇宙と防衛の組織で被害が発生している」と説明した。また、最近の一部報道によれば、ランサムウェアを使ったScattered Spiderによる攻撃で、米国のカジノリゾート大手が多額の損失を伴う被害を受けたとされる。
「Scattered Spider」の主な標的(CrowdStrike提供)
Meyers氏によれば、Scattered Spiderには特定の攻撃対象や戦略、パターンなどが認められず、本質的に手口が無秩序であることから対策が難しいという。同社は、2023年1月時点で、Scattered Spiderが認証情報を狙うフィッシングやソーシャルエンジニアリングを組み合わせ、多要素認証のワンタイムパスワードなどを窃取して正規ユーザーになりすました不正アクセスを試みることを突き止めていた。
さらに、不正アクセスに成功すると、Scattered Spiderは正規のリモートアクセスツールなどを悪用して永続的なアクセス権限を維持し、「Bring Your Own Vulnerable Driver」と呼ばれる手法も用いる。これは「Windows」のセキュリティモデルを悪用するものといい、攻撃者は正しく署名された古い脆弱(ぜいじゃく)なドライバーソフトウェアを使ってシステムの特権昇格を図る。特権の奪取に成功した攻撃者は、OSやシステム上で各種のセキュリティ製品や機能を無効にでき、セキュリティシステムによる検知を回避できるようになる。
Scattered Spiderは、こうした手口などによってさらなる攻撃を実行するための環境を構築しており、そこから無秩序なサイバー攻撃活動を展開しているという。
Meyers氏は、最近では一部ベンダーが製品アーキテクチャーに改ざん防止機能を組み込むなど、Scattered Spiderに対する防御で一定の進展が見られると解説する。ただ、Scattered Spiderが上述の手口で強固な攻撃基盤を構築していると見られることから、Meyers氏は下記の対策を推奨している。
- ユーザーIDをエンドポイントよりも重視する
- テキストベースの多要素認証が「SIMスワップ」などの攻撃対象になるため、使用しない
- 技術的なインテリジェンスや脅威インテリジェンス、脅威ハンティング、ゼロトラストアーキテクチャーを活用したサイバーセキュリティソリューションを導入する
現状では、先進的なサイバーセキュリティソリューションと多層防御のさらなる要塞(ようさい)化を図りつつ、エンドポイントやネットワーク、クラウド、IDなどの監視を強化し、パスワードポリシーの強化や従業員などへのセキュリティ教育、トレーニングも行うなど広範なセキュリティ対策を実施することで、リスクを低減することが最も重要だとしている。
