航空業界を標的とするサイバー犯罪グループ:Scattered Spider
本ブログでは、脅威アクター「Scattered Spider」の進化、戦術、被害事例、そして現在の脅威レベルについて包括的に解説しています。内容は、同アクターに関する調査と報告を集約した脅威アクタープロファイルレポート「Scattered Spider」に基づいています。
公開 2025年7月30日

(注:本ブログはAIで翻訳しています)
オーストラリアの主要航空会社であるQantasが、航空業界を標的とした「Scattered Spider」による最新の攻撃の被害者になったと報じられています。この持続的かつ高度な技術を持つサイバー犯罪グループは、世界中で数十件に及ぶ攻撃に関与してきたとされています。現在も調査が進行中のQantasの侵害事案は、2022年以降のScattered Spiderの活動に一貫して見られるソーシャルエンジニアリングと資格情報の悪用という手口に沿ったものとなっています。
本ブログでは、「Scattered Spider 脅威アクタープロファイル」に基づき、同グループの進化、戦術、被害事例、そして現在の脅威レベルについて包括的に解説しています。本記事は、セキュリティ担当者や脅威インテリジェンスチームに向けて、最新の知見を提供するハイレベルな概要であると同時に、詳細な分析資料としてもご活用いただけます。
Scattered Spiderとは何者か?
Scattered Spiderは、2022年初頭に出現した金銭目的の脅威グループです。主に英語を母語とする若年層で構成されており、「The Com」と呼ばれる分散型サイバー犯罪コミュニティとつながりがあるとされています。この地下ネットワークは、データ窃取、SIMスワッピング、恐喝、公開による嫌がらせなどで悪名高い存在です。
当初、同グループは米国の通信・テクノロジー分野を標的としていましたが、次第にその攻撃対象は、ビジネスプロセスアウトソーシング(BPO)、ホスピタリティ、小売業、メディア、エンターテインメント、金融サービスなどへと拡大しました。主に米国、カナダ、イギリス、オーストラリアといった英語圏の国々を狙っていましたが、シンガポール、インド、タイ、韓国、スウェーデン、ケイマン諸島などにも攻撃範囲を広げています。
Scattered Spiderは、フィッシングを含むソーシャルエンジニアリングやSIMスワップを用いることで知られています。2023年半ばにはBlackCat/Alphvランサムウェアの展開を始め、2024年6〜7月にはRansomHubおよびQilinのアフィリエイトとして活動を開始。2025年には、新たにDragonForceランサムウェアも使用するようになりました。
このグループは、これまで以下をはじめ複数の名称で追跡されています:
Roasted 0ktapus、Octo Tempest、Storm-0875、Starfraud、UNC3944、Scatter Swine、Muddled Libra
注目すべき攻撃と被害事例(2022〜2025年)
以下は、Scattered Spiderによる主な攻撃と被害事例を時系列で簡潔にまとめたものです。
2022年
セキュリティ研究者は、Scattered Spiderによるキャンペーンを発見しました。この攻撃では、130を超える組織の計9,931件のユーザーアカウントが侵害されました。標的となったのは主に、OktaのIDおよびアクセス管理サービスを利用する企業でした。このキャンペーンは2022年3月以降から活動が確認されており、Oktaのログイン画面を模倣したフィッシングサイトを使って、認証情報と2要素認証コードを窃取する手法が用いられました。被害を受けたとされる企業には、Twilio、Cloudflare、Klaviyo、Mailchimp、DoorDash、LastPass、T-Mobileが含まれます。
2023年
2023年、Scattered Spiderは活動をさらに拡大し、テクノロジー、金融、ゲーム、ホスピタリティ業界の大手企業を標的としました。同グループは、Riot Gamesの侵害と関連付けられており、攻撃者は業務を混乱させたうえで、1,000万ドルの身代金を要求しました。また、CoinbaseおよびRedditも、高度なソーシャルエンジニアリング攻撃によって侵害され、社内システムや企業ディレクトリの情報が漏えいしました。中でも特に注目すべきは、MGM Resortsに対する侵害です。Scattered Spiderは、ソーシャルエンジニアリングによって最初のアクセス権を取得し、その後BlackCat/ALPHVランサムウェアの運用者と連携して攻撃を展開しました。
2024年
2024年、Scattered Spiderは活動の範囲と巧妙さをさらに拡大し、企業のログインポータルを模倣した類似ドメインを使ったフィッシングキャンペーンに重点的に取り組みました。最も顕著な被害事例のひとつがCharter Communicationsであり、同社は偽のOktaドメインを使った大規模なキャンペーンの一環として標的となりました。Scattered Spiderのフィッシングインフラは極めて組織的で、被害者を嘲るような下品で攻撃的な要素がフィッシングキットに埋め込まれていたことも確認されています。同年、Scattered Spiderは地理的な活動範囲も拡大し、タイ(True Corporation)、韓国(Samsung)、スウェーデン(Sinch)、ケイマン諸島(Binance)といった国や地域の組織を標的にしました。これらの攻撃はいずれも、フィッシングによる資格情報の収集に始まり、ソーシャルエンジニアリングを経て、機密データの持ち出しへと至る一貫した手口で実行されており、Scattered Spiderの高い適応力と、世界中の企業にとって継続的な脅威であることを示しています。
2025年
2025年、Scattered Spiderはグローバルな活動をさらに強化し、英国の大手小売企業を標的とした組織的なキャンペーンを展開しました。標的となったのは、Co-op、Marks & Spencer、Harrodsなどで、同グループはDragonForceランサムウェアを展開し、内部アクセスを得るためにソーシャルエンジニアリングを多用していたとされています。たとえば、Co-opへの攻撃では、パスワードハッシュを含む顧客の機密データが盗まれ、Marks & Spencerではランサムウェアの完全な展開が確認されました。また、同グループは米国の小売業界にも焦点を移しつつあり、Googleは大西洋を越えて同様の手口が使用されていると警告を発しています。
そして直近では、Qantasを含む複数の航空会社が、Scattered Spiderによるものとされるサイバー攻撃の標的になったと報じられています。詳細はまだ明らかになっていませんが、このインシデントは同グループの被害対象が拡大している傾向と一致しており、Scattered Spiderが依然として持続的かつ高度な能力を持つグローバルな脅威アクターであることを改めて示しています。
Scattered Spiderの攻撃に対する防御策
Scattered Spiderの主要メンバー数名が逮捕されたにもかかわらず、同グループは依然として組織にとって深刻な脅威であり続けています。彼らの戦術に対抗するため、組織は以下の対策を講じるべきです:
ヘルプデスクの本人確認を強化する 新規アカウントの作成や重要なアクセス変更の際には、対面またはライブビデオでの本人確認を必須とする。
パスワード/MFAリセットの検証を厳格化する すべてのリセットに対して、2つ以上の認証要素と、別経路(アウト・オブ・バンド)による連絡手段を含む一時的な手動ワークフローを要求する。
堅牢なアウト・オブ・バンド検証を実施する 機密性の高いすべての取引に対して、アウト・オブ・バンドによる確認手続きを適用する。
フィッシング耐性のあるMFAとFIDO2キーを導入する 特権アクセスにはFIDO2キーなどの暗号ベースのソリューションを導入する。
パスワードレス認証への移行を進める セキュリティとユーザー体験を向上させるため、パスワードレス認証への段階的な移行計画を策定する。
非IT部門への教育を徹底する すべての非ITスタッフに対して、データプライバシー、本人確認のベストプラクティス、個人情報を用いた身元確認のリスクに関する定期的な研修を義務付ける。
脅威プロファイルの完全版をリクエストする KELAは、Scattered Spiderのような脅威アクターを、ダークウェブコミュニティ、リークサイト、犯罪フォーラム上で継続的に追跡しています。本ブログでは外部報告の要点をまとめていますが、KELAは貴組織向けにカスタマイズされた脅威インテリジェンスを提供し、より効果的な防御を支援します。
※KELAが作成したScattered Spiderの詳細レポートは、同グループのTTP(戦術・技術・手順)、逮捕情報、主要メンバー、内部手口の詳細なども網羅しています。このレポートは弊社のお客様を対象に公開しておりますが、それ以外の組織の皆様も、ご希望の場合は弊社までご連絡ください。Scattered Spiderのプロファイルを一読し、能動的なのサイバー防御戦略の構築にご活用ください。