Nihon Cyber Defence

UNC3944と企業のトップが認識しておくべき課題

高リスクセクターに対する攻撃手法の変容:持続的アクセスとリアルタイム妨害

Factory worker facing ransomware message on screen in warehouse environment
製造システムは、UNC3944のような攻撃者に狙われることが多くなっている。

Marks & SpencerHarrodsCo-opをはじめとする英国の小売企業を標的としたサイバー攻撃を契機に、「UNC3944」(別名:Scattered Spider、Gold Harvest)と呼ばれる脅威グループが再び注目を集めています。

UNC3944による攻撃は、一見すると小売企業を標的したサイバー攻撃のように見えますが、このグループが使用する戦術は他の業界にも影響を及ぼす可能性があります。重要インフラや金融サービス、製造業など、各業界のビジネスリーダーは警戒する必要があります。

これは従来のランサムウェア攻撃とは異なります。持続的アクセス(長期間にわたり内部システムに不正アクセスすること)や巧妙ななりすまし、そしてリアルタイムで業務を妨害する攻撃が組み合わさったもので、組織の事業継続性や信用を著しく損なうおそれがある新たな脅威です。

従来より悪質なランサムウェア攻撃

UNC3944は最終的な攻撃手段としてランサムウェアを展開することが多いですが、その前段階としてDragonForceなどのSaaS(Software-as-a-Service)ツールを活用し、EDR(エンドポイントの検出・対応)による防御を回避します。そのため、データが暗号化されるまでの間に攻撃を検知・阻止することが困難になります。

特筆すべきは、ネットワークへの侵入手口です。従来の攻撃とは異なり、携帯電話やなりすましを使用した高度なソーシャルエンジニアリングで内部への侵入を図ります。侵入に成功すると、内部のコミュニケーションを監視し、リアルタイムで対応を妨害します。

実際に英国では、Microsoft TeamsやEメールを操作し、社内のやり取りをリアルタイムで監視・妨害していた事例が報告されています。

これは、単なるデータ窃取ではなく、 積極的な妨害行為です。

本脅威モデルが重要セクターにもたらす影響

UNC3944 は、これまで主要インフラや製造業への攻撃に関与していたと報告されていますが、標的はこうした業界にとどまりません。同グループの手法は、ID管理が分散している組織や、サプライチェーンが複雑な業界、対応部門が分散されているような体制で、運用環境に気づかれにくく、侵入しやすいという特徴があります。

重要インフラ事業者の皆様:

復旧の成否を左右するのは、対応のスピードと関係者間の連携です。攻撃者に社内のやり取りを把握されてしまうと、対応が遅れたり、誤った方向へ誘導されるリスクが生じます。

金融サービス事業者の皆様:

Microsoft 365やOktaなどのクラウドネイティブなIDプラットフォームは、すでに侵入経路として悪用されています。とりわけ金融業界はこの種の手法に対して脆弱であり、十分な対策が求められます。

製造事業者の皆様:

攻撃者は、産業用システムに直接触れることなく、業務を止めることができます。たとえば、生産計画やスケジュール管理のツールに介入するだけで、警告を出さずに生産ラインを停止させることが可能です。

英国の事例から学ぶ教訓

サイバー対策が整っている組織であっても、この種の攻撃を封じ込めるのは容易ではありません。問題なのは、ファイアウォールを突破されることではなく、攻撃を受けた際の対応のあり方です。特に、攻撃者が経営陣のやり取りを監視していたり、侵害の最中にメディアと接触しているような状況では、対応はさらに困難になります。

実際に、UNC3944が自ら、特定組織からデータを盗んだとメディアに連絡した事例も報告されています。こうした行為は、企業の社会的信用や規制対応、経営陣の信頼性に深刻な影響を及ぼすリスクがあります。

NCDが支援する「制御力のある対応」とは

日本サイバーディフェンスでは、技術的・業務的リスクの両面に対応したリテイナー型のインシデント管理サービスを提供しています。

  • インシデント発生前からの安全なコミュニケーション手段の確保
  • IDベースの侵害や持続的な不正アクセスを想定したライブシミュレーション訓練の実施
  • 5つの対応策での包括的サポート:技術的対応・事業への影響緩和・脅威インテリジェンス・規制、法令対応・社内外への通知や広報対応
  • シニアメンバーが中心となった専門チームが、どんな状況でもすばやく正確に対応

問われているのは、UNC3944の標的になるかどうかではなく、すでにシステム内部に侵入している攻撃者への備えがあるかどうかです。

UNC3944は、データの窃取だけでなく、業務の妨害を主な目的とする新たなタイプの脅威アクターの一例です。こうした攻撃には、技術的対応だけでは十分に対処できません。

事業継続と社会的信頼の維持のためには、侵害そのものだけではなく、「インシデント全体」を視野に入れた管理体制を構築しておく必要があります。
ぜひご相談ください。

Dougie Grant - Executive Director
ドゥーギー・グラント

日本サイバーディフェンス 執行役員兼グローバルインシデント管理責任者

英国警察および国家サイバーセキュリティセンター(NCSC)での30年の経験を活かし、グラント氏はNCD社のサイバーインシデント管理と対応を国際規模で牽引しています。

Edit Template

その他の記事を読む

鳥海晋氏が日本サイバーディフェンスのCOOに就任

NCDは、鳥海晋氏を最高執行責任者(COO)に任命し、日本発のサイバー防衛ソリューションを重要インフラ分野で拡大・展開していくための体制を強化しました。...

ソフトウェアが変える戦争のかたち

ソフトウェア技術の進化により、国家防衛の概念が変わりつつあります。日本や米国、そしてその同盟国が、ソフトウェア主導型戦争とサイバーセキュリティにおけるリーダーシップの変化にどのように対応しているのか、その戦略を探ります。...

UNC3944と企業のトップが認識しておくべき課題

UNC3944の攻撃手法は従来型のランサムウェアではありません。重要セクターは、持続的なアクセス、リアルタイムの業務妨害、IDを狙った攻撃への備えが求められています。...

ロバート・スチーブンソン氏 日本サイバーディフェンスのCROに就任

ロバート・スチーブンソン氏は、日本におけるサイバーセキュリティ、OT、エンタープライズ・テクノロジー分野で培った数十年の経験を生かし、最高収益責任者(CRO)として日本サイバーディフェンスに参画しました。...

RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行:サイバーリーダーが知っておくべきこと

RansomHubの崩壊は、ランサムウェアのカルテルモデルへの移行を示唆している。NCDの名和利男氏(CTO)が、日本のサイバーリーダーが重要分野を守るために知っておくべきことを解説します。...

ジョン・ムーア氏、日本サイバーディフェンスのCFOに就任

NCDは、ジョン・ムーア氏をCFOに迎えました。20年以上にわたり日本やアジア太平洋地域(APAC)を含むグローバル市場を牽引してきたムーア氏が、今後はNCDの財務戦略を指導し、「日本の安全保障におけるサイバーセキュリティ強化」というミッションを推進していきます。...

日本の重要インフラを脅かす中国系APT

Salt、Volt、Silk Typhoonなど中国系APTが日本の重要インフラを標的に。脅威の実態と防御戦略を詳しく解説。...

未来のサイバーセキュリティを担う女性たちの育成

NCDが北アイルランドの首府ベルファストで開催されたEmpower Girlsに出展。全国22校から約600人の女子学生にサイバーセキュリティの体験と職業意識を提供しました。...

NCDとNetcraft社が戦略的パートナーシップを締結

日本サイバーディフェンス(NCD)がNetcraft社と戦略的パートナーシップを締結。リアルタイムでのフィッシング検知とテイクダウンを実現。この企業連携が国内のサイバーセキュリティ強化にどう貢献するのかを紹介。...
Edit Template