Scattered Spiderについて

記事サムネイル

Scattered Spiderは2023年ごろから活動を聞く様になり、最近では保険会社や航空関連にも攻撃を加えているかなり有名な脅威アクターです。

この記事では、Scattered Spiderについて簡単にまとめます。

「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」

セキュ塾コース診断

Scattered Spider (別名:UNC3944, Starfraud, Scatter Swine, Muddled Libra, Octo Tempest)

 Scattered Spider(UNC3944)は、様々な企業を標的とする脅威アクターです。Scattered Spiderは通常、金銭を目的としたデータ窃盗を行っています。ソーシャルエンジニアリング・フィッシング・多要素認証 (MFA) 爆撃 (targeted MFA fatigue)・ SIM スワッピングなどを巧みに利用して初期アクセスを取得し、大規模組織を攻撃しています。ソーシャルエンジニアリングを用いて被害者に偽のサイトに接続させて認証情報を盗んだりしています。

 TheHackerNewsの記事によると、この攻撃者は2022年12月のSIMスワッピング攻撃を行ったことで知られています。その後、2023年以降攻撃が目立つ様になってきました。2025年にScattered Spiderによって使用された偽のログイン画面がSlientPush社のレポートで公開されています。

偽のログイン画面のスクショ
SilentPush: Scattered Spider: Still Hunting for Victims in 2025 より引用

Scattered Spiderの攻撃対象

Scattered Spiderの攻撃対象は様々です。以下、CISAやMicrosoft・CrowdStrikeの情報及び近年のニュースを総合すると

  • 2022/12/01当時はScattered SpiderはTeleComunication(通信)およびBPO(ビジネスプロセスアウトソーシング)企業を標的
  • 2023/10/25当時は天然資源産業, ゲーム業界, ホスピタリティ産業, 小売業, マネージメントサービスプロバイダー(MSP), 製造業, 法律, テクノロジー, 金融サービスなどを攻撃
  • 2025年4月にはテクノロジー、通信、金融サービス、ビジネスプロセスアウトソーシング(BPO)、ゲーム、ホスピタリティ、小売、メディア&エンターテイメント組織などを攻撃
  • 2025年6月にはさらに保険業界、航空業界なども攻撃

以下はGoogle(Mandiant)が2025年5月に公開した、UNC3944の被害状況になります。

被害状況
Google(Mandiant): Defending Against UNC3944: Cybercrime Hardening Guidance from the Frontlinesより引用

Scattered Spiderによる攻撃の時系列

Scattered Spiderによるものと思われる主なインシデントを時系列でまとめてみましょう。

日時内容
2022年12月テレコム会社への攻撃(詳細不明)
2023年9月MGMリゾートへの攻撃
2025/04/22Marks & Spencerがサイバー攻撃に遭う
2025/05/02Co-opがサイバー攻撃に遭う
2025/06/07エリー保険取引所がサイバー攻撃に遭う
2025/06/12カナダのWest Jetがサイバー攻撃に遭う
2025/06/20アフラックがサイバー攻撃に遭う
2025/06/29ハワイアンエアラインがサイバー攻撃に遭う

2024年のScattered Spiderグループの逮捕

逮捕

 2024年にScattered Spiderグループの一員と思われる容疑者が数名逮捕されています。SilentPush社のレポートにまとまっていますので、抜粋します。

  • 2024年1月:メンバーのNoah Michael Urban(別名「Sosa」「King Bob」「Elijah」)は、約80万ドルの暗号通貨を盗んだとしてフロリダで逮捕されました(Krebs on Security)。
  • 2024年6月:リーダーとされるTyler Buchanan(別名「TylerB」)が、ビットコイン2,700万ドルを盗んだとしてスペインで逮捕されました(Krebs on Security)。
  • 2024年7月:英国West Midlandsの法執行機関が、Scattered Spiderに関係のある17歳の少年を逮捕しました(West Midlands 警察)。
  • 2024年11月:米国の検察官によって5人のScattered Spiderのメンバーが起訴されました。被告は、先述のスコットランドのTyler Buchanan(22歳)、テキサス州カレッジステーションのAhmed Elbadawy(23歳)、ノースカロライナ州ジャクソンビルのJoel Evans(25歳)、テキサス州ダラスのEvans Osiebo(20歳)、フロリダ州パームコーストのNoah Michael Urban(20歳)でした(ロイター)。
  • 2024年12月:テキサス州フォートワース出身の19歳のRemington Goy Ogletreeは、FBIが「キャッシュサービス」と呼ばれる暗号通貨ロンダリングオペレーションにより逮捕されました(ダークリーディング)。

CISAによる分析 (2023年11月)

分析

 CISAもScattered Spiderに関してAdvisoryを出しています。以下、技術的情報等を中心に簡単にまとめます。

Scattered SpiderのTTP/IoC

使用するツール

Scattered Spiderは下記の様なツール(正当なツール)を使用しています

ツール使用目的
Fleetdeck.ioシステムのリモート監視と管理を可能にします。
Level.ioシステムのリモート監視と管理を可能にします。
Mimikatz[S0002]システムから資格情報を抽出します。
Ngrok [S0508]インターネットを介してトンネリングすることにより、ローカルWebサーバーへのリモートアクセスを有効にします。
Pulsewayシステムのリモート監視と管理を可能にします。
Screenconnect管理のためのネットワークデバイスへのリモート接続を有効にします。
Splashtop管理のためのネットワークデバイスへのリモート接続を有効にします。
Tactical.RMMシステムのリモート監視と管理を可能にします。
Tailscaleネットワーク通信を保護するための仮想プライベートネットワーク(VPN)を提供します。
Teamviewer管理のためのネットワークデバイスへのリモート接続を有効にします。

使用するマルウェア

Scattered Spiderはマルウェアも使用しています

マルウェア用途
AveMaria (also known as WarZone [S0670])被害者のシステムへのリモートアクセスを有効にします。
Raccoon Stealerログイン資格情報[TA0006]、ブラウザ履歴[T1217]、クッキー[T1539]、その他のデータなどを盗みます。
VIDAR Stealerログイン資格情報、ブラウザ履歴、クッキー、その他のデータなどの情報を盗

ファイルの暗号化

 FBIでは、流出後に被害者のファイルを暗号化しているScattered Spiderを観測していた模様です。データを暗号化した後、Scattered Spiderは、TORやTox・メール・暗号化されたアプリケーションを介して被害者と通信します。

使用するドメイン

 Scattered Spiderは下記の様なドメインを用いて攻撃を行っています。

ドメイン
victimname-sso[.]com
victimname-servicedesk[.]com
victimname-okta[.]com

MITRE ATT&CKとTTP

・Reconnaisance (偵察)

テクニックID説明
標的情報の収集T1589ターゲット組織のユーザー名、パスワード、およびPIIを収集します。
フィッシングT1598フィッシングを使用してログイン情報を取得し、被害者のネットワークにアクセスします。

・Resource Development (リソース開発)

テクニックID説明
ドメインの取得T1583.001ターゲット組織へのフィッシングやスミッシングに使用するドメインを作成します。
アカウントの作成:ソーシャルメディアアカウントT1585.001偽のソーシャルメディアプロファイルを作成します。

・Initial Access (初期アクセス)

テクニックID説明
フィッシングT1566・ターゲットに対する広範なフィッシングの試みを使用して、初期アクセスに使用できる情報を取得します。
・ヘルプデスクのスタッフを装い、従業員に商用のリモートアクセスツールをインストールするよう指示します。
フィッシング(モバイル)T1660ターゲットにスミッシングとして知られるSMSメッセージを送信します。
フィッシング:スピアフィッシング(音声)T1566.004音声通信を使用して、ITヘルプデスクの担当者にパスワードやMFAトークンをリセットするよう試みます。
信頼関係T1199ターゲット組織にアクセスするために、契約したITヘルプデスクの信頼関係を悪用します。
有効なドメインアカウントT1078.002有効なドメインアカウントにアクセスして、対象の組織への初期アクセスを取得します。

・Execution (実行)

テクニックID説明
サーバーレス実行T1648ETLツールを使用してクラウド環境でデータを収集します。
ユーザー実行T1204ヘルプデスクのスタッフになりすまして標的にリモートアクセスツールを実行するように指示し、それによって被害者のネットワークへのアクセスを可能にします。

・Persistent (永続性)

テクニックID説明
永続性TA0003ターゲットのネットワークで永続性を維持しようとします。
アカウント作成T1136ターゲットに新しいユーザーIDを作成します。
認証プロセスの変更:多要素認証T1556.006MFAトークンを変更して、ターゲットのネットワークにアクセスする可能性があります。
有効なアカウントT1078パスワードが変更されてもネットワークアクセスを維持するために、有効なアカウントを悪用して制御します。

・Privelege Escalation (特権昇格)

テクニックID説明
特権昇格TA0004ターゲット組織のネットワーク上でアカウントの特権をエスカレートします。
ドメインポリシーの変更:ドメイン信頼の変更T1484.002ターゲットのSSOテナントにフェデレーションIDプロバイダーを追加し、自動アカウントリンクを有効にします。

・Defence Evation (防衛回避)

テクニックID説明
クラウドコンピューティングインフラストラクチャの変更:クラウドインスタンスの作成T1578.002横方向の移動とデータ収集中に使用するクラウドインスタンスを作成します。
なりすましTA1656・被害者のネットワークにアクセスするために、会社のITおよび/またはヘルプデスクのスタッフを装います。
・ソーシャルエンジニアリングを使用して、ITヘルプデスクの担当者にパスワードやMFAトークンをリセットするよう説得します。

・Credential Access (資格情報へのアクセス)

テクニックID説明
資格情報へのアクセスTA0006ラクーンスティーラーなどのツールを使用してログイン資格情報を取得します。
クレデンシャルの偽造T1606被害者のネットワークにアクセスするためにMFAトークンを偽造する可能性があります。
多要素認証要求の生成T1621繰り返しMFA通知プロンプトを送信し、従業員がプロンプトを受け入れ、ターゲットネットワークにアクセスできるようにします。
セキュリティで保護されていない資格情報:ファイル内の資格情報T1552.001被害者のシステムに保存された、安全でない資格情報を検索します。
セキュリティで保護されていない資格情報:秘密鍵T1552.004被害者のシステムに保存された、安全でない秘密鍵を検索します。

・Discovery (発見)

テクニックID説明
発見TA0007SharePointサイト、クレデンシャルストレージドキュメント、VMware vCenter、バックアップ、ADを検索して、さらなる有用な情報を特定します。
ブラウザ情報検出T1217ブラウザのヒストリーを取得するためにツール(例:ラクーンスティーラー)を使用します。
クラウドサービスダッシュボードT1538AWSシステムマネージャーインベントリを利用して、水平移動のターゲットを発見します。
ファイルとディレクトリの検出T1083ネットワークを検索してファイルやディレクトリを発見し、さらなる情報を入手します。
リモートシステム検出T1018悪用するためにリモートシステムなどを探します。
盗用ウェブセッションクッキーT1539ラクーンスティーラーなどのツールを使用して、ブラウザのクッキーを取得します。

・Lateral Movement (水平移動)

テクニックID説明
水平移動TA0008アクセスを取得して永続性を確立すると、ターゲットネットワークを横方向に移動します。
リモートサービス:クラウドサービスT1021.007水平方向の移動とデータ収集のために既存のクラウドインスタンスを使用します。

・Collection (収集)

テクニックID説明
情報リポジトリからのデータ:コードリポジトリT1213.003データ収集と流出のためコードリポジトリを検索します。
情報リポジトリからのデータ:SharepointT1213.002情報を求めてSharePointリポジトリを検索します。
ステージングデータT1074複数のデータソースから集中型データベースにデータをステージングします
メールの収集T1114被害者の電子メールを検索して、被害者が侵入を検出し、セキュリティ対応を開始したかどうかを判断します。
クラウドストレージからのデータT1530収集と流出のためにクラウドストレージ内のデータを検索します。

・C&C

テクニックID説明
リモートアクセスソフトウェアT1219・従業員に商用のリモートアクセスツールを実行するように指示し、それによって被害者のネットワークへのアクセスとコマンドと制御を可能にします。
・サードパーティのソフトウェアを活用して、ターゲット組織のネットワークでの横方向の移動を促進し、永続性を維持します。

・Exfiltration (流出)

テクニックID説明
流出TA0010データ恐喝のためにターゲットネットワークからデータを流出させます。

・Impact (影響)

テクニックID説明
暗号化されたデータT1486・ターゲットネットワーク上のデータを暗号化し始め、復号化のための身代金を要求しました。
・VMware ESXiサーバーを暗号化しているのが観察されています。
Webサービスへの流出:クラウドストレージへの流出T1567.002米国を拠点とするデータセンターやMEGA[.]を含む複数のサイトにデータを流出させています。
金融盗難T1657ランサムウェアやデータ盗難など、さまざまな方法で被害者ネットワークへのアクセスを収益化しました。

Scattered Spiderの活動(2022/12/01当時)

脅威アクター

 2022/12/01にCrowdStrike社が同社のブログ「 Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companies」・並びに「SCATTERED SPIDER Exploits Windows Security Deficiencies with Bring-Your-Own-Vulnerable-Driver Tactic in Attempt to Bypass Endpoint Security」で、このScattered Spiderの活動について解説していますので、下記に転載・要約します。詳しい情報はCrowdStrike社のブログを確認してください。

Scattered Spiderの攻撃対象(2022/12/01当時)

 2022/12/01当時はScattered SpiderはTeleComunication(通信)およびBPO(ビジネスプロセスアウトソーシング)企業を標的としていました。

技術

 初期アクセスとしてはソーシャルエンジニアリングが殆どの様です。

  1. 電話やSMS/Telegramなどを通じてITスタッフになりすまして、被害者に(偽の)サポートサイトで情報を入力するかRMM(リモート管理)ツールをインストールするように誘導します。MFAが有効になっている場合には、言葉巧みにMFAのOTPを共有する様に誘導します。
  2. 他のケースでは、侵害されていた(つまり漏洩していた)クレデンシャルを悪用して組織のAzureテナントに侵入していました。さらにAzure VMインスタンスを悪用して他の資格情報の窃取や水平移動(Lateral Movement)を実行していました。
  3. CVE-2021-35464 (ForgeRock OpenAMのリモートコード実行(RCE)脆弱性)を悪用して、下記の様にAWSインスタンスロールを利用して権限昇格を行っていました。
画像はCrowdStrike: Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companiesより引用。

下記はCrowdStrikeで確認した侵入方法と調査結果を時系列でまとめたものです。

侵入方法と調査結果を時系列でまとめたもの
画像はCrowdStrike: Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companiesより引用。

永続性 (Persistent)

また、侵入後の永続性(Persistent)のために、下記のようなツールを使用していました。

  • AnyDesk, BeAnywhere, Domotz, DWservice, Fixme.it, Fleetdeck.io, Itarian Endpoint Manager, Level.io, Logmein, ManageEngine, N-Able, Pulseway, Rport, Rsocx, ScreenConnect, SSH RevShell and RDP Tunnelling via SSH, Teamviewer, TrendMicro Basecamp, Sorillus, ZeroTier

検知回避(Evasion)

 Scattered Spiderは、エンドポイントのセキュリティを回避するために、Windowsのセキュリティ機能の脆弱性を悪用した「Bring-Your-Own-Vulnerable-Driver」攻撃を行っていました。Scattered Spiderの2022年当時の攻撃では、Windows用Intel Ethernet診断ドライバー(iqvw64.sys)の脆弱性(CVE-2015-2291)を介して悪意のあるプログラムをカーネルモードでデプロイしようとしていた模様です。

Bring-Your-Own-Vulnerable-Driver (BYOVD)攻撃

MITRE ATT&CKのT1068によると、BYOVD攻撃とは「署名された脆弱なドライバーを侵害されたマシンに持ち込み、脆弱性を悪用してカーネルモードでコードを実行」する攻撃です。TrendMicro社のブログに詳細が載っていますが、標的型攻撃者グループ「Earth Longzhi」や近年では「RansomHub」などの攻撃チェーンの中でも使用されている常套手段であり、脆弱性のある正規のドライバをインストールすることで、それを悪用した攻撃が可能になるというものです。

Microsoftによる分析 (2023年10月)

分析

 MicrosoftはScattered Spiderを「Octo Tempest」と読んでおり、2023/10/25にその時点での脅威分析を「Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction」として出しています。以下は、その分析を要約・抜粋したものになります。

Octo Tempestの攻撃対象(2023/10/25当時)

 Microsoftが確認したところ、Octo Tempest(Scattered Spider)は攻撃対象を拡大しており、2023/10/25時点では下記の様な業界が攻撃対象となっています。

  • 天然資源産業, ゲーム業界, ホスピタリティ産業, 小売業, マネージメントサービスプロバイダー(MSP), 製造業, 法律, テクノロジー, 金融サービス

Octo Tempest(Scattered Spider)のTTP(2023/10/25時点)

 MicrosoftによるとOcto Tempest (Scattered Spider)のTTPは以下の様になります。

Octo Tempest (Scattered Spider)のTTP
Microsoft: Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction より引用

Initial Access

 この時点でのOcto Tempest (Scattered Spider)のInitial Accessも、2022年12月のCrowdStrike社の分析とほぼ同じく

  • ソーシャルエンジニアリング
    • 従業員に電話などで連絡を取り、RMMツールのインストールや偽のログインポータルに案内することによって認証情報の窃取を行う
    • 組織のヘルプデスクに連絡をし、ヘルプデスク担当をソーシャルエンジニアリングすることでユーザのパスワードリセットや多要素認証トークンの変更などを行う
  • DarkWebでの漏洩した認証情報(クレデンシャル)の購入
  • SIMスワップ攻撃

等を行います。「組織のヘルプデスクに連絡する」という点は2022年から新しく追加された手口になります。

また、Octo Tempest (Scattered Spider)は電話やテキストで特定の個人を標的にして、自宅の住所や姓などの個人情報と実際の脅迫を行うことで、被害者に企業アクセスの資格情報を共有することを強要します。下記はMicrosoftのブログに載っている脅迫文ですが、「家を銃撃する」「奥さんを銃撃する」など、かなり物騒な形での脅迫を行っているのが特徴になっています。

脅迫文
Microsoft: Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction より引用

永続性(Persistent)

 Microsoftによると、2023/10/25の時点では、永続性(Persistent)のために下記の様なツールを使用していました。

ALPHV/BlackCatとの関連性

 Microsoftの記事によると、Octo Tempest (Scattered Spider)はALPHV/BlackCatランサムウェアのアフィリエイト(実際に攻撃を行うグループ)にもなっており、ALPHV Collectionsリークサイトを用いて脅迫を行っていました。2023年6月までに、Octo TempestはALPHV/BlackCatランサムウェア(Windows/Linux両バージョン)を被害者にデプロイし、主にVMWare ESXiサーバーに攻撃を集中していました。

まとめ

 Scattered Spiderは2024-2025の代表的な攻撃者と言っていいでしょう。メンバーが数名逮捕されていますが、活動は以前として続いています。

 攻撃手法を見る限りでは、ソーシャルエンジニアリングを巧みに利用し、場合によっては「危害を加えるかもしれない」といったような脅迫もしてくる様です。企業としては従業員への教育が対応の中心になると思われます。

「未経験からでもホワイトハッカーになれる!」実践的セキュリティスクール「セキュ塾」

セキュ塾コース診断

参考情報