178億ドルの「アイデンティティの危機」:Scattered SpiderによるVMware乗っ取りが告げる従来のサイバーセキュリティの終焉
高度なソーシャルエンジニアリング集団は、マルウェアではなく人間の心理が、重要インフラを標的とするランサムウェア攻撃の主要な攻撃ベクトルとなっていることを示す
Googleの脅威インテリジェンスグループは、従来のセキュリティ対策を回避するために人間を操る技術を完璧に習得した高度なサイバー犯罪集団「Scattered Spider」について緊急警告を発しました。この集団による重要インフラ、小売、航空、保険セクターを標的とした最新のキャンペーンは、ランサムウェア攻撃が最小限の技術的複雑さで最大限の影響を達成する方法における根本的な変化を示しています。
ソフトウェアの脆弱性を悪用する従来のサイバー攻撃とは異なり、Scattered Spiderは、あらゆる組織に存在する最も根強い弱点である「人間の信頼」を武器にしています。彼らの手法は、従業員になりすましてITヘルプデスクのスタッフを騙し、パスワードをリセットさせることから始まります。これにより足がかりを築き、数時間以内にネットワーク全体を完全に支配するまでエスカレートさせます。
Scattered Spiderサイバー犯罪集団の主な特徴と活動
| 側面 | 詳細 |
|---|---|
| グループ名 | Scattered Spider |
| 活動期間 | 少なくとも2022年以降 |
| 主な動機 | 金銭的利益 |
| 標的産業 | 通信、小売、保険、航空、運輸、その他 |
| 攻撃手法 | ソーシャルエンジニアリング(フィッシング、スミッシング、MFA疲労、SIMスワップ)、ランサムウェア(ALPHV/BlackCat、DragonForce)、データ窃盗 |
| 初期アクセスベクトル | ITヘルプデスクのなりすまし、リモートアクセスツールの展開、認証情報とMFAコードの窃盗 |
| ツールと手法 | 正規ツール(Mimikatz、TeamViewer)、リビング・オフ・ザ・ランド技術、クラウド環境の悪用(AWS、Azure) |
| 攻撃フェーズ | 偵察、ラテラルムーブメント、権限昇格、永続化、データ流出、暗号化 |
| 影響の例 | MGMリゾーツ攻撃による10日間のサービス停止と約1億ドルの損害 |
| 地理的拠点 | 米国、英国、カナダ |
| 言語・文化的優位性 | ネイティブ英語話者による効果的なソーシャルエンジニアリング |
| 最新のインテリジェンス源 | FBIおよびCISA勧告、MITRE ATT&CKフレームワークマッピング、民間セクター調査(2023-2025年) |
| 最近の傾向(2025年) | セクター標的の拡大、FBIおよび法執行機関による継続的な捜査 |
6時間の強奪:現代ランサムウェアにおける電話がマルウェアに取って代わる方法
このグループの運用マニュアルは、技術的な洗練度よりも心理的操作を優先する計算されたアプローチを明らかにしています。セキュリティアナリストは、彼らの戦術を「壊滅的に単純でありながら非常に効果的」と評し、ほとんどの企業運用の基盤となっているVMware環境に焦点を当てています。
ネットワークに侵入後、Scattered Spiderの攻撃者は高価値のターゲット、特にVMware vSphere管理者をスキャンします。その後、ITスタッフに再度連絡を取り、確立された信頼性を利用して特権アカウントのパスワードリセットを要求します。これにより、仮想化インフラの集中管理ハブであるVMware vCenter Server Applianceへのアクセスを許可させます。
攻撃者はその後にESXiホストでSSHを有効にし、rootパスワードをリセットし、リモートアクセスツールをインストールします。このレベルのアクセスにより、仮想マシンをシャットダウンしたり、仮想ディスクを接続して機密データを抽出したり、ランサムウェアを展開する前にバックアップシステムを組織的に破壊したりすることが可能になります。初期接触からネットワークロックダウンまでの全プロセスは、わずか数時間で発生し得ます。
なぜハイパーバイザーが新たな「王冠の宝石」となったのか
VMware環境を標的とすることは、ランサムウェア攻撃における戦略的な進化を示しています。企業セキュリティの専門家は、ハイパーバイザー層を侵害することで複数のシステムに同時にアクセスできるようになるため、仮想化インフラが攻撃者にとってますます魅力的になっていると指摘しています。
匿名を条件に語ったあるサイバーセキュリティ研究者は、「攻撃者が仮想インフラ自体を制御すれば、従来のエンドポイント保護は意味をなさなくなる。彼らは個々のコンピューターを攻撃しているのではなく、数十または数百の重要なビジネスシステムをホストするプラットフォームを攻撃しているのだ」と説明しました。
このアプローチは特に効果的であることが証明されています。なぜなら、多くの組織がセキュリティ投資を、不正な人間による機密システムへのアクセスを防止するよりも、マルウェアの検出に集中させているからです。その結果、一部のアナリストが「人間のファイアウォール」問題と表現するように、ソーシャルエンジニアリングが技術的な制御を完全に迂回してしまう事態が生じています。
無差別攻撃から外科医のメスへ:ランサムウェアの進化
Scattered Spiderのキャンペーンは、サイバー犯罪の状況を再構築する広範なトレンドを反映しています。最近の業界データによると、世界の組織のほぼ半数が現在ランサムウェアとソーシャルエンジニアリングを主要なサイバーリスクと認識しており、42%が過去1年間にソーシャルエンジニアリングによる侵害に成功したと報告しています。
人工知能ツールの統合により、これらの脅威は大幅に増幅されました。サイバー犯罪者は現在、生成AIを用いて、より説得力のあるフィッシングメッセージを作成し、電話攻撃のための音声を再現し、かつてない規模でパーソナライズされたなりすましを試みています。
Black Basta、Dark Angels、3AMを含む複数のランサムウェアグループが同様の戦術を採用しており、ソーシャルエンジニアリングがエコシステム全体で好まれる攻撃手法になっていることを示唆しています。Ransomware-as-a-Service(RaaS)プラットフォームの出現は、これらの高度な技術をさらに民主化し、技術スキルが低い攻撃者でも利用できるようにしました。
航空会社と電力網がランサムウェアの金鉱と化す時
これらの攻撃が重要インフラセクターに拡大することは、国家安全保障上の重大な懸念を引き起こします。エネルギー、水、運輸、医療システム(その多くはレガシーインフラに依存)は、最大限の混乱と金銭的影響を求めるグループにとって魅力的な標的となります。
航空業界筋は、小売業や保険会社に対する成功した攻撃後、標的となるケースが増加していると報告しています。これらのセクターでの運用中断の可能性は、金銭的損失を超え、公共の安全への配慮や経済の安定にも及びます。
政府のサイバーセキュリティ担当者は、重要インフラの侵害が、存亡の危機から、自然災害や軍事紛争と同じくらい社会を大きく混乱させ得る「予期され、繰り返し発生する事象」へと変化したことを強調しています。
パスワードリセットのゴールドラッシュ:MFA関連株が高騰する理由
サイバーセキュリティ市場を追跡する金融アナリストは、この人間を標的とした攻撃への移行から生じる重大な投資的示唆を指摘しています。現在178億ドルと評価され、年平均成長率18%を誇る多要素認証(MFA)市場は、人間を対象とした防御を強化しようとする組織の最も直接的な受益者です。
SIMスワップ攻撃に対して脆弱なSMSおよび音声ベースの認証方法から企業が移行するにつれて、ハードウェアベースの認証プロバイダーは25%の収益成長を報告しています。フィッシング耐性のある暗号認証方法であるパスキーの採用が加速し、米国と英国の大企業の87%がこれらの技術を導入しています。
VMwareエコシステムは、セキュリティ上の懸念と、Broadcomによる買収後の最近のライセンス変更の両方から特別な圧力を受けています。欧州市場での10〜15倍の価格上昇は、組織にNutanix、Microsoft Hyper-V、クラウドネイティブソリューションを含む代替案を検討するよう促しています。これにより、特定のハイパーバイザー技術に依存しないバックアップおよびリカバリーソリューションへの投資機会が創出されています。
VMwareの二重の窮地:ライセンス料の高騰とランサムウェアの現実
特権アクセス管理(PAM)セクターは、別の成長分野として浮上しており、管理アクセスを付与する前に、複数のチャネルを通じて人間のIDを確認できるソリューションへの需要が高まっています。音声生体認証とITサービス管理の統合は、この広範なカテゴリ内で新たなニッチを形成しています。
サイバー保険市場は、これらの人間中心のリスクに適応するため、保険条件としてより強力な認証手段を要求しています。一部の業界観測筋は、フィッシング耐性のある多要素認証が、サーベンス・オクスリー法(SOX法)の内部統制証明と同様に、上場企業にとって上場要件となる可能性があると予想しています。
暗号化なしのデータ窃盗(機密情報の公開を脅迫することに基づく純粋な恐喝)への移行は、ランサムウェア経済をさらに再形成する可能性があります。このアプローチは、最新の不変バックアップシステムを回避しつつ、攻撃成功に必要な技術的複雑さを軽減します。
ゼロトラストの義務:人間の弱点の周りに要塞を築く
セキュリティ専門家は、組織が人間の侵害を完全に防止しようとするのではなく、それを前提とする「ゼロトラスト」原則を導入することを推奨しています