UNC3944と企業のトップが認識しておくべき課題

高リスクセクターに対する攻撃手法の変容：持続的アクセスとリアルタイム妨害

Marks & SpencerやHarrods、Co-opをはじめとする英国の小売企業を標的としたサイバー攻撃を契機に、「UNC3944」（別名：Scattered Spider、Gold Harvest）と呼ばれる脅威グループが再び注目を集めています。

UNC3944による攻撃は、一見すると小売企業を標的したサイバー攻撃のように見えますが、このグループが使用する戦術は他の業界にも影響を及ぼす可能性があります。重要インフラや金融サービス、製造業など、各業界のビジネスリーダーは警戒する必要があります。

これは従来のランサムウェア攻撃とは異なります。持続的アクセス（長期間にわたり内部システムに不正アクセスすること）や巧妙ななりすまし、そしてリアルタイムで業務を妨害する攻撃が組み合わさったもので、組織の事業継続性や信用を著しく損なうおそれがある新たな脅威です。

従来より悪質なランサムウェア攻撃

UNC3944は最終的な攻撃手段としてランサムウェアを展開することが多いですが、その前段階としてDragonForceなどのSaaS（Software-as-a-Service）ツールを活用し、EDR（エンドポイントの検出・対応）による防御を回避します。そのため、データが暗号化されるまでの間に攻撃を検知・阻止することが困難になります。

特筆すべきは、ネットワークへの侵入手口です。従来の攻撃とは異なり、携帯電話やなりすましを使用した高度なソーシャルエンジニアリングで内部への侵入を図ります。侵入に成功すると、内部のコミュニケーションを監視し、リアルタイムで対応を妨害します。

実際に英国では、Microsoft TeamsやEメールを操作し、社内のやり取りをリアルタイムで監視・妨害していた事例が報告されています。

これは、単なるデータ窃取ではなく、 積極的な妨害行為です。

本脅威モデルが重要セクターにもたらす影響

UNC3944 は、これまで主要インフラや製造業への攻撃に関与していたと報告されていますが、標的はこうした業界にとどまりません。同グループの手法は、ID管理が分散している組織や、サプライチェーンが複雑な業界、対応部門が分散されているような体制で、運用環境に気づかれにくく、侵入しやすいという特徴があります。

重要インフラ事業者の皆様：

復旧の成否を左右するのは、対応のスピードと関係者間の連携です。攻撃者に社内のやり取りを把握されてしまうと、対応が遅れたり、誤った方向へ誘導されるリスクが生じます。

金融サービス事業者の皆様：

Microsoft 365やOktaなどのクラウドネイティブなIDプラットフォームは、すでに侵入経路として悪用されています。とりわけ金融業界はこの種の手法に対して脆弱であり、十分な対策が求められます。

製造事業者の皆様：

攻撃者は、産業用システムに直接触れることなく、業務を止めることができます。たとえば、生産計画やスケジュール管理のツールに介入するだけで、警告を出さずに生産ラインを停止させることが可能です。

英国の事例から学ぶ教訓

サイバー対策が整っている組織であっても、この種の攻撃を封じ込めるのは容易ではありません。問題なのは、ファイアウォールを突破されることではなく、攻撃を受けた際の対応のあり方です。特に、攻撃者が経営陣のやり取りを監視していたり、侵害の最中にメディアと接触しているような状況では、対応はさらに困難になります。

実際に、UNC3944が自ら、特定組織からデータを盗んだとメディアに連絡した事例も報告されています。こうした行為は、企業の社会的信用や規制対応、経営陣の信頼性に深刻な影響を及ぼすリスクがあります。