マイクロソフト：Scattered Spiderが航空会社をランサムウェアで狙っている

マイクロソフトが「Octo Tempest」として追跡しているサイバー犯罪集団「Scattered Spider」は、数か月にわたって他の主要セクターを混乱させた後、再び攻撃手法を進化させ、航空会社を標的にしている。

Microsoft Defender セキュリティ リサーチ チームによる最近のアップデートによると、Scattered Spider は、2025 年 4 月から 7 月にかけて小売、食品サービス、ホスピタリティ、保険業界を攻撃した後、航空業界に焦点を移しています。

「ここ数週間、マイクロソフトはOcto Tempest（別名Scattered Spider）が航空業界に影響を与えていることを確認しています」と、マイクロソフトのチームは自社ブログ投稿で述べています。「これは、数週間から数ヶ月間、ある業界に集中してから新たな標的へと移行するという、Octo Tempestの典型的なパターンと一致しています。」

Scattered Spiderは、攻撃的なソーシャルエンジニアリング戦術でよく知られており、正規ユーザーを装ってサービスデスクスタッフを欺き、アクセス認証情報を渡させようとします。Microsoftの報告によると、このグループは現在、より深いレベルで攻撃を開始しており、まずオンプレミスのインフラストラクチャを標的にしてからクラウドに移行しています。これは、以前のクラウドファースト戦略からの転換です。

「最近の活動では、クラウドアクセスに移行する前の侵入の初期段階でオンプレミスのアカウントとインフラストラクチャの両方に影響を与えている」とマイクロソフトのチームは書いている。

サイバー犯罪者は、SMS フィッシング (ミッシングとも呼ばれる) や中間者攻撃 (AiTM) 戦術も引き続き使用しており、最近では特に VMware ESX ハイパーバイザー環境を標的とした DragonForce ランサムウェアを展開していることが確認されています。

マイクロソフトの対応：防御を強化すれば、混乱も増える

これに追いつくために、Microsoft は Defender および Sentinel プラットフォーム全体の保護を強化しました。

同社の組み込み攻撃阻止システムは現在、AI、機械学習、クラウドとエンドポイントのデータ全体の信号相関を使用して、疑わしい動作を検出し、侵害されたアカウントを自動的に無効にします。

「人気の Octo Tempest 技術から得たこれまでの知見に基づき、攻撃を阻止すると、Octo Tempest が使用するユーザー アカウントが自動的に無効になり、侵害を受けたユーザーによる既存のアクティブ セッションがすべて取り消されます」と Microsoft は説明している。

マイクロソフトは、自動化ツールは進行中の攻撃をブロックするのに役立つものの、完全な封じ込めと復旧には人間によるインシデント対応が不可欠であることを強調しています。同社は、SOCチームに対し、あらゆる侵入の試みについて徹底的な調査を実施するよう強く求めています。

「今日の脅威の状況では、プロアクティブなセキュリティが不可欠です」とマイクロソフトチームは強調し、アイデンティティ、エンドポイント、クラウド システム全体にわたるより強力な防御を求めました。

侵入検知ポリシーがビジネスにメリットをもたらす可能性がある場合は、TechRepublic Premium のダウンロードをご覧ください。