FBI警告：散在するスパイダーハッカーが航空会社も標的に

腕の袖に FBI と書かれたラップトップを使用している人。 — 画像: iStockphoto/domoyega

FBIは、航空業界を標的としたサイバー攻撃の増加について、公式な警告を発しました。「Scattered Spider」として知られる悪名高いハッカー集団は、これまでの小売業界や保険会社といった業界を標的に、攻撃範囲を拡大しています。FBIによると、これらの攻撃者は、ソーシャルエンジニアリングの手法を用いてITヘルプデスクを操作し、社内システムへの不正アクセスを許可しているケースが増えています。

FBIによると、ハッカーはヘルプデスクのスタッフを騙して多要素認証（MFA）保護を回避させ、不正なMFAデバイスを侵害したアカウントに登録させることが多い。侵入後、ハッカーは迅速に行動を起こし、データを盗み出し、身代金を要求し、場合によってはランサムウェアを仕掛けて業務を麻痺させる。

サイバーセキュリティの専門家は、このグループの成功は、企業システムにおける人間の行動に対する深い理解に起因していると指摘する。「このグループは、私たちの重要なインフラに対して深刻な攻撃を仕掛けています」と、Googleの脅威インテリジェンスグループのチーフアナリスト、ジョン・ハルトキスト氏はWIREDのレポートで述べている。「彼らは私たちのセキュリティシステムに大きな欠陥を見つけ出し、それを巧みに利用しているのです。」

航空会社が攻撃を受ける

FBIの警告は、複数の航空会社がサイバーインシデントを報告している中で発せられた。ここ数週間、ウエストジェット航空とハワイアン航空は情報漏洩を認めた。オーストラリアのカンタス航空はサイバー攻撃を認めたものの、Scattered Spiderとの関連性についてはすぐには言及しなかった。

パロアルトネットワークスのユニット42のサム・ルービン氏はLinkedInで警告を発し、航空会社に対し、偽のMFAリセット要求やなりすましの試みに対して「厳戒態勢」を取るよう求めた。

ロイター通信の報道によると、Google傘下のMandiantも懸念を表明し、「航空業界と運輸業界で、Scattered Spiderの手法に類似した複数のインシデントが発生している」と述べた。Mandiantの最高技術責任者であるチャールズ・カーマカル氏は、「業界に対し、ヘルプデスクの本人確認プロセスを強化するための措置を直ちに講じることを推奨します」と述べた。

流動的で捉えどころのない集団

UNC3944、Muddled Libra、Octo Tempestといった別名と関連付けられているScattered Spiderは、複数の業界を波状的に攻撃していることが追跡されています。ハッカーたちは以前、通信事業者、金融サービス、小売業者を標的とし、アクセスの取得、データの窃取、身代金の要求に同様の手法を用いていました。

ReliaQuestの最近のレポートでは、ある企業の最高財務責任者（CFO）が関与した侵害の詳細が明らかにされています。攻撃者はCFOの個人情報を収集し、ITヘルプデスクに認証情報とMFAデバイスのリセットを強要しました。フルアクセス権限を得たハッカーたちは、SharePoint、Horizon Virtual Desktop、VMwareなどのシステムに侵入し、機密データを盗み出し、最終的にはファイアウォールを無効化するという、発覚後の必死の焦土作戦を実行しました。

Scattered Spiderは、「the Com」として知られるより広範なアンダーグラウンドコミュニティの一部であると考えられており、このコミュニティにはLAPSUS$などのグループも含まれています。このギャングは主に英語を話すティーンエイジャーと若者で構成されており、DiscordやTelegramなどのプラットフォームで活動し、仲間と戦術や「勝利」を共有しています。

「このグループは、DiscordとTelegramのコミュニケーションプラットフォーム上で発展し、多様な背景や興味を持つメンバーを集めた」とパロアルトネットワークスの脅威インテリジェンスチーム、ユニット42は述べた。

ゆるい構造のため、グループを解体するのは困難であり、急速な学習曲線と協力的な性質により、グループはさらに危険になります。