英国の老舗デパート、マーク&スペンサー(M&S)が4月21日にランサムウェア攻撃を受けてから、ひと月がたちましたが、オンラインショッピングサイトはいまだに閉鎖されたままです。試しにアクセスしてみると、会社のウェブサイトそのものがダウンしていて、Sorry you can’t browse the site currently(現在このサイトは閲覧できません)という味気ない、まるで「おかけになった電話番号は…」の自動通知みたいな無機質なメッセージが表示されます。
ちなみに、マーク&スペンサー(M&S)は英国でもかなり伝統のある大手百貨店で、日本でいうところの三越伊勢丹みたいな感じかなと思ったのですが、詳しい人に訊いてみると、むしろ成城石井みたいなイメージだそうです。もっと手広くて、身近な感じがしつつも高級感があるイメージでしょうか。実際、店舗数は英国内で1,400店以上あり、オンラインショッピングからの食品配達も便利らしいです。それが、ひと月以上もダウンしてしまったら、さぞかしお困りの英国紳士も大勢おられるでしょう。
サイト復旧の見込みについては、つい先頃ようやく発表され、2、3週間後に一部再開し、6、7月にかけての復旧を目指すそうです。正確には、BBCニュースの文言ではmomentum increasing throughout June/Julyなので、「6、7月にかけて(復旧への)勢いをつける」 という公式発表です。決して歯切れがよいとは言えず、苦しい状況が垣間見えます。
5月初めにSky Newsが報じたところによると、ランサムウェア攻撃を受けた当初は、社員でさえ何が何だかわからない状況だったようで、会社支給のパソコンはアクセスを禁じられて、各自が自前のパソコンで仕事するように言われたそうです。通常使用しているMicrosoft Teamsも使用が禁止され、社内のコミュニケーションも制限されて、まったくの手探り状態だったと本部の社員が吐露しています。その後は多少落ち着いてきたと思いますが、当時は、内部の犯行も視野に入れた捜査段階で、社内に疑心暗鬼が広がり、会社のBusiness Continuity(事業継続)Disaster Recovery(障害復旧)プランの甘さ(あるいは無さ)を辛辣に批判する社員の声が報じられていました。
サイバー攻撃の経緯
その後、サイバー攻撃がどのようにして始まったのかなど、より詳しい情報が徐々にわかってきました。
複数の情報筋によると、サイバー攻撃の犯人グループはScattered Spiderと呼ばれるハッカー集団で、実際の犯行は、ランサムウェア攻撃が明るみに出た4月21日よりも2か月ほどさかのぼり、Active DirectoryのデータベースファイルであるNTDS.ditファイルが盗まれたことに端を発するようです。
NTDS.ditファイルにはWindowsアカウントの認証情報などが含まれ、犯人グループはそれを利用して社内システムに侵入し、横へ横へと侵入を拡大して、ネットワークデバイスやサーバーから重要データを抜き取っていったようです。
最終的には、DragonForceと呼ばれるランサムウェアをVMware ESXi ホストに展開してデータを暗号化し、4月21日の攻撃発覚に至りました。身代金の要求額は3億ポンドだという報道があり、日本円にすると約580億円ですが、マーク&スペンサー(M&S)が支払ったのかどうかは発表されていません。
犯人グループはデータを暗号化するだけでなく、機密情報も盗み出しているので、いわゆる二重脅迫(Double Extortion)型のランサムウェア攻撃と見られます。
犯人グループの実像
犯人はScattered Spiderなのか、DragonForceなのか、やたらカッコつけた名前が出てきて混乱しますが、DragonForceはRansomware as a Serviceのブランド名(?)のようなもので、それを運営してる集団自体もDragonForceと呼ぶ場合があります。つまり、犯罪サービスを提供したのがDragonForceで、それを使って直接犯罪を実行したのがScattered Spiderです。
こういうロックバンドみたいなカッコよさげな名前はよくないですよね。実際、Scattered Spiderには、16歳くらいの若者も参加しているらしく、誤った認識でハッカーに憧れてしまった可能性も否めません。怒羅魂不押忍(どらごんふおす)みたいなダサい名前だったら、間違った道に踏み込んでしまう若者が減るかもしれません(The虎舞竜に憧れてロック始めた人には申し訳ないですが)。
Scattered Spiderについて、もっと調べてみると、そういうグループが正式に結成されているわけではなく、国際的なハッカー集団のゆるいつながりだそうで、実体が掴みにくい分もっと恐ろしいです。英語を母国語とし、多種多様なスキルを備えた新進気鋭のハッカー集団が含まれる、という記述があり、この「英語を母国語」はニュース記事で読むと唐突な感がありますが、捜査当局にとっては重要な意味を持ちます。
具体的には、従来はロシア由来が多かったランサムウェア攻撃が、ネイティブ英語を話す犯行グループが駆使するソーシャルエンジニアリングによって、企業システムにより侵入しやすくなったことが危惧されているようです。
オレオレ詐欺の発展形?
Scattered Spiderは、元々は金融詐欺やソーシャルメディアのハッキングから始まり、それがやがてソーシャルエンジニアリングで個人の暗号通貨資産を狙った犯罪に発展していったといいます。2023年9月に、米国のMGM Resortsの社内システムに侵入し、BlackCatランサムウェアで100以上のVMware ESXiハイパーバイザーを暗号化して、悪名を世界に轟かせました。このときの手口が、社内のITヘルプデスクに社員を騙って電話をかけてパスワードを盗み出すというもので、今回のM&Sのケースと基本的に同じ手口だと見られています。
要するに、ソーシャルエンジニアリングが非常に巧みで、直接人を騙すのに長けているのがScattered Spiderです。最初に手を染めた金融詐欺の詳細はわかりませんが、「若者が金融詐欺」、「電話で人を騙す」というワードからは、そう言えば日本にもそんなやからがいるなと連想されます。日本の大手企業内のITヘルプデスクにも、そのうち巧みな詐欺電話がかかってくる(すでにかかっている)かもしれません。
ちなみに、MGM Resortsの日本法人は「日本MGMリゾーツ」といい、大阪万博が閉幕したあとで始まるIR事業参入のために設立された会社です。日本がこの手の犯罪から無縁でいられないような不安を、ますます感じてしまします。
ソーシャルエンジニアリングの巧妙化
社員の「なりすまし」がなぜ成功するのか、不思議に思われるかもしれませんが、これにはさまざまな方法が考えられます。昨今は生成AIで特定人物の声を再現できるといいますが、そこまで高度なことをしなくても、大企業のITヘルプデスクは社員一人ひとりの声など覚えていません。
社員の所属部署や役職にメールアドレス、時には趣味や自宅の所在地、生年月日まで、ソーシャルメディアに載っていることも多いので、このような情報を使って、ITサポートスタッフによる認証を突破できる可能性があります。それ以前に、その社員の社内アカウントを乗っ取って、サポートの利用はそのアカウントから直接何の制限もなくできるのかもしれません。
社員の個人アカウントの乗っ取りは、たとえばM&Sのケースでは、「SIMスワップ」が行われたという情報があります。SIMスワップとは、携帯電話会社のサポートデスクに、顧客になりすまして電話をかけ、SIMを自分のスマートフォンに移行させる詐欺です。これによって、相手のアカウントを乗っ取ることができます。電話での「なりすまし」の方法は、上記のITサポート電話と変わりありません。
SIMスワップが成功すれば、多要素認証の二段階目も突破できるので、Scattered Spiderが得意としていた暗号通貨資産口座の乗っ取りにも、この方法が使われていたと推測できます。この方法で個人を標的にできるのであれば、その個人が所属する団体を標的にしたほうが、もっとずっと大規模な犯罪が可能になると考えたのでしょう。
マーク&スペンサーの件から学ぶべきこと
結論として、このM&Sの件から学ぶべきことは、企業・団体に所属する社員一人ひとりの心構えです。誰か一人が騙されると、所属する団体のシステム全体、M&Sのケースでは全国1,400店舗、64,000人の従業員に影響を及ぼします。実際には、顧客の個人情報も漏洩しているので、社会的な影響は無限です。
一人ひとりが、自分の情報の管理、スマホやパソコンのデバイス管理に気をつけ、また、メールやSNSで送られてきたリンクや添付ファイルはたとえ知人からでも簡単には開かず、慎重に確認する、という作業が重要になります。
企業のITサポートスタッフも、規定の手順をすべて踏んで、本人確認を慎重かつ完全に行う必要があります。日本の組織内では、以前同じ部署にいて数十年来の同僚からのリクエストだったら、面倒な手順の一つぐらいはスキップしてあげる場合があるかもしれません。あるいは、昔の上司のリクエストだったらどうでしょうか。よく言えば、臨機応変で柔軟な対応、悪く言えば、なあなあな対応が横行していそうですが、現代はそれが許されない時代になりました。
M&Sも、伝統的な企業なので、日本と同じように人間関係を重視する古き良き体質があったのかもしれません。社内のITサポートに限らず、顧客に対するシステムサポートにも同じことが言えます。長年のお客様、しかも、お年寄りが相手だったら、本人確認をあまりうるさく求められない状況が考えられます。
英国と同じように長い歴史のある島国の日本は、人間関係を重視するあまりに、ソーシャルエンジニアリングを駆使した詐欺に騙されやすい土壌があるような、共通点を感じざるを得ません。人間関係と、IT情報管理はしっかり区別して、社会全体でサイバー防御を強化していかなければなりません。
あと、言うまでもありませんが、企業・団体のBusiness Continuity(事業継続)とDisaster Recovery(障害復旧)のプランは不可欠です。特に、誰もが変更を加えられない(たとえ、なりすました誰かが社内に侵入しても一切手出しできない)イミュータブルバックアップは重要です。重要と言うか、基本はそこからです。
関連トピックス
- Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護 (Linuxサーバ不要)
- Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
- なぜリアルタイム暗号化検知が重要なのか!
- データ損失を抑えたランサムウェア攻撃からの復旧【Druva】
- CloudBerry Backup リリース 5.8の新機能紹介
- ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- VeeamON 2022 セッション情報速報⑧
- 【ランサムウェア対策】堅牢化(Hardened)リポジトリ:セキュアなLinux構築の手間をISOパッケージで大幅削減[Veeam Backup & Replication]
- 能動的サイバー防御法の成立について(雑感)
RSSフィードを取得する
