19歳の天才ハッカーが100社以上を侵害した手口 — Scattered Spider逮捕事件のリアル


Scattered Spider の攻撃フロー 攻撃者 Scattered Spider ITヘルプデスク 「パスワードを 忘れました」 ①電話 携帯キャリア 「SIMを移して」 → 認証コード奪取 ②SIM スワップ MFA突破 パスワード入手 認証コード入手 企業 システム 🔓 侵入成功 対策 SMS認証 → 認証アプリ/セキュリティキーへ変更 | ヘルプデスクの本人確認ルールを強化
Scattered Spider は「話術」と「SIMスワップ」でMFAを突破する
ひよこ ひよこ
ペンギン先生、19歳のハッカーがフィンランドで逮捕されてアメリカに引き渡されたってニュースを見たんだけど、Scattered Spiderって何をしたグループなの?
ペンギン先生 ペンギン先生
Scattered Spider(スキャッタード・スパイダー)は10代〜20代の若者が中心のハッカーグループで、面白いのがほとんどマルウェアを使っていないんだよ。主な武器は「電話」と「話術」なんだ。
ひよこ ひよこ
電話と話術?それってサイバー攻撃なの?
ペンギン先生 ペンギン先生
これが立派なサイバー攻撃なんだよね。たとえばMGMリゾーツを侵害したとき、彼らはLinkedInで従業員を調べてITヘルプデスクに電話し、「パスワードを忘れました」と言っただけなんだ。それだけで1億ドル以上の被害が出たんだよ。
ひよこ ひよこ
え、それだけで会社に入れちゃうの!?
ペンギン先生 ペンギン先生
さらにSIMスワッピングという手口も組み合わせるんだ。携帯キャリアのサポートに電話して「スマホを無くした」と言い、被害者の電話番号を自分のSIMカードに移してしまう。そうするとSMSで届く認証コードも全部攻撃者のスマホに届くようになるんだよ。
ひよこ ひよこ
それって多要素認証も突破できちゃうってこと!?
ペンギン先生 ペンギン先生
そう。MFAの「SMSで届くコード」はSIMスワッピングに弱いんだ。Scattered SpiderはこういうMFAの「人間的な弱点」を徹底的についてきたんだよ。だから今はSMSよりも認証アプリや物理セキュリティキーを使うのが推奨されているんだ。
ひよこ ひよこ
どんな会社が被害を受けたの?
ペンギン先生 ペンギン先生
MGMリゾーツ、シーザーズ・エンターテインメント(身代金150億円を支払ったと言われている)、Coinbase、通信会社など100社以上だよ。Microsoftは彼らを「Octo Tempest(オクト・テンペスト)」と名付けて、最も危険なサイバー犯罪グループの一つとして追跡していたんだ。
ひよこ ひよこ
それで今回逮捕されたのはどんな人なの?
ペンギン先生 ペンギン先生
Peter Stokesという19歳の若者で、フィンランドで拘束されてアメリカに身柄が引き渡されたんだ。メンバーは特定の国籍ではなく英語圏の複数国にまたがっていて、英語を流暢に話せることでヘルプデスク詐欺がしやすかったと言われているよ。
ひよこ ひよこ
どうすれば自分の会社や自分自身を守れるの?
ペンギン先生 ペンギン先生
まずSMSの二要素認証より認証アプリ(Google AuthenticatorやMicrosoft Authenticator)に切り替えること。そしてIT部門のヘルプデスク対応に「電話やチャットでのパスワードリセット時に厳密な本人確認を行う」ルールを設けることが大事だよ。
ひよこ ひよこ
テクノロジーより人間のルール作りが大切なんだね!
ペンギン先生 ペンギン先生
まさに。Scattered Spiderの事件が示したのは「最強のファイアウォールも、電話に正直に答えてしまう人間の前では無力」ということなんだ。セキュリティは技術と人間教育のセット、これが基本だよ。