Nihon Cyber Defence

UNC3944と企業のトップが認識しておくべき課題

高リスクセクターに対する攻撃手法の変容:持続的アクセスとリアルタイム妨害

Factory worker facing ransomware message on screen in warehouse environment
製造システムは、UNC3944のような攻撃者に狙われることが多くなっている。

Marks & SpencerHarrodsCo-opをはじめとする英国の小売企業を標的としたサイバー攻撃を契機に、「UNC3944」(別名:Scattered Spider、Gold Harvest)と呼ばれる脅威グループが再び注目を集めています。

UNC3944による攻撃は、一見すると小売企業を標的したサイバー攻撃のように見えますが、このグループが使用する戦術は他の業界にも影響を及ぼす可能性があります。重要インフラや金融サービス、製造業など、各業界のビジネスリーダーは警戒する必要があります。

これは従来のランサムウェア攻撃とは異なります。持続的アクセス(長期間にわたり内部システムに不正アクセスすること)や巧妙ななりすまし、そしてリアルタイムで業務を妨害する攻撃が組み合わさったもので、組織の事業継続性や信用を著しく損なうおそれがある新たな脅威です。

従来より悪質なランサムウェア攻撃

UNC3944は最終的な攻撃手段としてランサムウェアを展開することが多いですが、その前段階としてDragonForceなどのSaaS(Software-as-a-Service)ツールを活用し、EDR(エンドポイントの検出・対応)による防御を回避します。そのため、データが暗号化されるまでの間に攻撃を検知・阻止することが困難になります。

特筆すべきは、ネットワークへの侵入手口です。従来の攻撃とは異なり、携帯電話やなりすましを使用した高度なソーシャルエンジニアリングで内部への侵入を図ります。侵入に成功すると、内部のコミュニケーションを監視し、リアルタイムで対応を妨害します。

実際に英国では、Microsoft TeamsやEメールを操作し、社内のやり取りをリアルタイムで監視・妨害していた事例が報告されています。

これは、単なるデータ窃取ではなく、 積極的な妨害行為です。

本脅威モデルが重要セクターにもたらす影響

UNC3944 は、これまで主要インフラや製造業への攻撃に関与していたと報告されていますが、標的はこうした業界にとどまりません。同グループの手法は、ID管理が分散している組織や、サプライチェーンが複雑な業界、対応部門が分散されているような体制で、運用環境に気づかれにくく、侵入しやすいという特徴があります。

重要インフラ事業者の皆様:

復旧の成否を左右するのは、対応のスピードと関係者間の連携です。攻撃者に社内のやり取りを把握されてしまうと、対応が遅れたり、誤った方向へ誘導されるリスクが生じます。

金融サービス事業者の皆様:

Microsoft 365やOktaなどのクラウドネイティブなIDプラットフォームは、すでに侵入経路として悪用されています。とりわけ金融業界はこの種の手法に対して脆弱であり、十分な対策が求められます。

製造事業者の皆様:

攻撃者は、産業用システムに直接触れることなく、業務を止めることができます。たとえば、生産計画やスケジュール管理のツールに介入するだけで、警告を出さずに生産ラインを停止させることが可能です。

英国の事例から学ぶ教訓

サイバー対策が整っている組織であっても、この種の攻撃を封じ込めるのは容易ではありません。問題なのは、ファイアウォールを突破されることではなく、攻撃を受けた際の対応のあり方です。特に、攻撃者が経営陣のやり取りを監視していたり、侵害の最中にメディアと接触しているような状況では、対応はさらに困難になります。

実際に、UNC3944が自ら、特定組織からデータを盗んだとメディアに連絡した事例も報告されています。こうした行為は、企業の社会的信用や規制対応、経営陣の信頼性に深刻な影響を及ぼすリスクがあります。

NCDが支援する「制御力のある対応」とは

日本サイバーディフェンスでは、技術的・業務的リスクの両面に対応したリテイナー型のインシデント管理サービスを提供しています。

  • インシデント発生前からの安全なコミュニケーション手段の確保
  • IDベースの侵害や持続的な不正アクセスを想定したライブシミュレーション訓練の実施
  • 5つの対応策での包括的サポート:技術的対応・事業への影響緩和・脅威インテリジェンス・規制、法令対応・社内外への通知や広報対応
  • シニアメンバーが中心となった専門チームが、どんな状況でもすばやく正確に対応

問われているのは、UNC3944の標的になるかどうかではなく、すでにシステム内部に侵入している攻撃者への備えがあるかどうかです。

UNC3944は、データの窃取だけでなく、業務の妨害を主な目的とする新たなタイプの脅威アクターの一例です。こうした攻撃には、技術的対応だけでは十分に対処できません。

事業継続と社会的信頼の維持のためには、侵害そのものだけではなく、「インシデント全体」を視野に入れた管理体制を構築しておく必要があります。
ぜひご相談ください。

Dougie Grant - Executive Director
ドゥーギー・グラント

日本サイバーディフェンス 執行役員兼グローバルインシデント管理責任者

英国警察および国家サイバーセキュリティセンター(NCSC)での30年の経験を活かし、グラント氏はNCD社のサイバーインシデント管理と対応を国際規模で牽引しています。

Edit Template

その他の記事を読む

名和利男氏、日本サイバーディフェンスのCTOに就任

日本サイバーディフェンスCTOに就任した名和利男氏 日本のサイバーセキュリティの第一人者・元内閣府や経済産業省...

情報戦に対抗するサイバーリジリエンスの強化

 NCDは、Fivecastと連携し、先進的なOSINT技術を活用して、日本の政府機関とともに、オンライン上の影響工作への対抗を目的とした戦略的な対策を推進...

能動的サイバー防衛法案が衆議院を通過

2027年までにサイバー脅威の事前対処を可能にするACD法案が衆議院を通過。重要インフラ、金融、産業界のリーダーに求められる備えとは...

ランサムウェアのジレンマ

ランサムウェアの報告義務化と身代金支払いの禁止は、厳格な規制に見えますが、果たして効果はあるのでしょうか?ランサムウェアに対するレジリエンスを高めるため、企業はより賢明なアプローチが求められています。変えるべき点は?...

英国のCyberFirstプログラムに学ぶ:サイバーセキュリティ人材育成の成功モデル

官民連携でサイバー人材を育成。企業パートナーシップを活用し、実践的教育と雇用機会を拡大し、日本のセキュリティ体制を強化。...

AI主導の戦争の台頭

自律型ドローンやサイバー戦術を駆使したAIによる軍事変革について学ぶ。防衛の未来を形作る主要トレンドとは。...

リーダーシップとサイバーレジリエンス(耐性)| Vol.II

2025年2月、北朝鮮ハッカー集団LazarusがBybitから14億ドルの仮想通貨を窃取。コールドウォレットへの攻撃手口と今後の対策を解説。...

拡大する日本のサイバーセキュリティ人材不足とその影響

日本のサイバーセキュリティ人材不足は11万人超。課題と影響、解決策を探り、企業や政府が直面するリスクと対応策を解説します。...
Edit Template