- 脅威インテリジェンス
- 5月 27, 2025
UNC3944と企業のトップが認識しておくべき課題
高リスクセクターに対する攻撃手法の変容:持続的アクセスとリアルタイム妨害

Marks & SpencerやHarrods、Co-opをはじめとする英国の小売企業を標的としたサイバー攻撃を契機に、「UNC3944」(別名:Scattered Spider、Gold Harvest)と呼ばれる脅威グループが再び注目を集めています。
UNC3944による攻撃は、一見すると小売企業を標的したサイバー攻撃のように見えますが、このグループが使用する戦術は他の業界にも影響を及ぼす可能性があります。重要インフラや金融サービス、製造業など、各業界のビジネスリーダーは警戒する必要があります。
これは従来のランサムウェア攻撃とは異なります。持続的アクセス(長期間にわたり内部システムに不正アクセスすること)や巧妙ななりすまし、そしてリアルタイムで業務を妨害する攻撃が組み合わさったもので、組織の事業継続性や信用を著しく損なうおそれがある新たな脅威です。
従来より悪質なランサムウェア攻撃
UNC3944は最終的な攻撃手段としてランサムウェアを展開することが多いですが、その前段階としてDragonForceなどのSaaS(Software-as-a-Service)ツールを活用し、EDR(エンドポイントの検出・対応)による防御を回避します。そのため、データが暗号化されるまでの間に攻撃を検知・阻止することが困難になります。
特筆すべきは、ネットワークへの侵入手口です。従来の攻撃とは異なり、携帯電話やなりすましを使用した高度なソーシャルエンジニアリングで内部への侵入を図ります。侵入に成功すると、内部のコミュニケーションを監視し、リアルタイムで対応を妨害します。
実際に英国では、Microsoft TeamsやEメールを操作し、社内のやり取りをリアルタイムで監視・妨害していた事例が報告されています。
これは、単なるデータ窃取ではなく、 積極的な妨害行為です。
本脅威モデルが重要セクターにもたらす影響
UNC3944 は、これまで主要インフラや製造業への攻撃に関与していたと報告されていますが、標的はこうした業界にとどまりません。同グループの手法は、ID管理が分散している組織や、サプライチェーンが複雑な業界、対応部門が分散されているような体制で、運用環境に気づかれにくく、侵入しやすいという特徴があります。
重要インフラ事業者の皆様:
復旧の成否を左右するのは、対応のスピードと関係者間の連携です。攻撃者に社内のやり取りを把握されてしまうと、対応が遅れたり、誤った方向へ誘導されるリスクが生じます。
金融サービス事業者の皆様:
Microsoft 365やOktaなどのクラウドネイティブなIDプラットフォームは、すでに侵入経路として悪用されています。とりわけ金融業界はこの種の手法に対して脆弱であり、十分な対策が求められます。
製造事業者の皆様:
攻撃者は、産業用システムに直接触れることなく、業務を止めることができます。たとえば、生産計画やスケジュール管理のツールに介入するだけで、警告を出さずに生産ラインを停止させることが可能です。
英国の事例から学ぶ教訓
サイバー対策が整っている組織であっても、この種の攻撃を封じ込めるのは容易ではありません。問題なのは、ファイアウォールを突破されることではなく、攻撃を受けた際の対応のあり方です。特に、攻撃者が経営陣のやり取りを監視していたり、侵害の最中にメディアと接触しているような状況では、対応はさらに困難になります。
実際に、UNC3944が自ら、特定組織からデータを盗んだとメディアに連絡した事例も報告されています。こうした行為は、企業の社会的信用や規制対応、経営陣の信頼性に深刻な影響を及ぼすリスクがあります。
NCDが支援する「制御力のある対応」とは
日本サイバーディフェンスでは、技術的・業務的リスクの両面に対応したリテイナー型のインシデント管理サービスを提供しています。
- インシデント発生前からの安全なコミュニケーション手段の確保
- IDベースの侵害や持続的な不正アクセスを想定したライブシミュレーション訓練の実施
- 5つの対応策での包括的サポート:技術的対応・事業への影響緩和・脅威インテリジェンス・規制、法令対応・社内外への通知や広報対応
- シニアメンバーが中心となった専門チームが、どんな状況でもすばやく正確に対応
問われているのは、UNC3944の標的になるかどうかではなく、すでにシステム内部に侵入している攻撃者への備えがあるかどうかです。
UNC3944は、データの窃取だけでなく、業務の妨害を主な目的とする新たなタイプの脅威アクターの一例です。こうした攻撃には、技術的対応だけでは十分に対処できません。
事業継続と社会的信頼の維持のためには、侵害そのものだけではなく、「インシデント全体」を視野に入れた管理体制を構築しておく必要があります。
ぜひご相談ください。

日本サイバーディフェンス 執行役員兼グローバルインシデント管理責任者
英国警察および国家サイバーセキュリティセンター(NCSC)での30年の経験を活かし、グラント氏はNCD社のサイバーインシデント管理と対応を国際規模で牽引しています。