Nihon Cyber Defence

UNC3944と企業のトップが認識しておくべき課題

高リスクセクターに対する攻撃手法の変容:持続的アクセスとリアルタイム妨害

Factory worker facing ransomware message on screen in warehouse environment
製造システムは、UNC3944のような攻撃者に狙われることが多くなっている。

Marks & SpencerHarrodsCo-opをはじめとする英国の小売企業を標的としたサイバー攻撃を契機に、「UNC3944」(別名:Scattered Spider、Gold Harvest)と呼ばれる脅威グループが再び注目を集めています。

UNC3944による攻撃は、一見すると小売企業を標的したサイバー攻撃のように見えますが、このグループが使用する戦術は他の業界にも影響を及ぼす可能性があります。重要インフラや金融サービス、製造業など、各業界のビジネスリーダーは警戒する必要があります。

これは従来のランサムウェア攻撃とは異なります。持続的アクセス(長期間にわたり内部システムに不正アクセスすること)や巧妙ななりすまし、そしてリアルタイムで業務を妨害する攻撃が組み合わさったもので、組織の事業継続性や信用を著しく損なうおそれがある新たな脅威です。

従来より悪質なランサムウェア攻撃

UNC3944は最終的な攻撃手段としてランサムウェアを展開することが多いですが、その前段階としてDragonForceなどのSaaS(Software-as-a-Service)ツールを活用し、EDR(エンドポイントの検出・対応)による防御を回避します。そのため、データが暗号化されるまでの間に攻撃を検知・阻止することが困難になります。

特筆すべきは、ネットワークへの侵入手口です。従来の攻撃とは異なり、携帯電話やなりすましを使用した高度なソーシャルエンジニアリングで内部への侵入を図ります。侵入に成功すると、内部のコミュニケーションを監視し、リアルタイムで対応を妨害します。

実際に英国では、Microsoft TeamsやEメールを操作し、社内のやり取りをリアルタイムで監視・妨害していた事例が報告されています。

これは、単なるデータ窃取ではなく、 積極的な妨害行為です。

本脅威モデルが重要セクターにもたらす影響

UNC3944 は、これまで主要インフラや製造業への攻撃に関与していたと報告されていますが、標的はこうした業界にとどまりません。同グループの手法は、ID管理が分散している組織や、サプライチェーンが複雑な業界、対応部門が分散されているような体制で、運用環境に気づかれにくく、侵入しやすいという特徴があります。

重要インフラ事業者の皆様:

復旧の成否を左右するのは、対応のスピードと関係者間の連携です。攻撃者に社内のやり取りを把握されてしまうと、対応が遅れたり、誤った方向へ誘導されるリスクが生じます。

金融サービス事業者の皆様:

Microsoft 365やOktaなどのクラウドネイティブなIDプラットフォームは、すでに侵入経路として悪用されています。とりわけ金融業界はこの種の手法に対して脆弱であり、十分な対策が求められます。

製造事業者の皆様:

攻撃者は、産業用システムに直接触れることなく、業務を止めることができます。たとえば、生産計画やスケジュール管理のツールに介入するだけで、警告を出さずに生産ラインを停止させることが可能です。

英国の事例から学ぶ教訓

サイバー対策が整っている組織であっても、この種の攻撃を封じ込めるのは容易ではありません。問題なのは、ファイアウォールを突破されることではなく、攻撃を受けた際の対応のあり方です。特に、攻撃者が経営陣のやり取りを監視していたり、侵害の最中にメディアと接触しているような状況では、対応はさらに困難になります。

実際に、UNC3944が自ら、特定組織からデータを盗んだとメディアに連絡した事例も報告されています。こうした行為は、企業の社会的信用や規制対応、経営陣の信頼性に深刻な影響を及ぼすリスクがあります。

NCDが支援する「制御力のある対応」とは

日本サイバーディフェンスでは、技術的・業務的リスクの両面に対応したリテイナー型のインシデント管理サービスを提供しています。

  • インシデント発生前からの安全なコミュニケーション手段の確保
  • IDベースの侵害や持続的な不正アクセスを想定したライブシミュレーション訓練の実施
  • 5つの対応策での包括的サポート:技術的対応・事業への影響緩和・脅威インテリジェンス・規制、法令対応・社内外への通知や広報対応
  • シニアメンバーが中心となった専門チームが、どんな状況でもすばやく正確に対応

問われているのは、UNC3944の標的になるかどうかではなく、すでにシステム内部に侵入している攻撃者への備えがあるかどうかです。

UNC3944は、データの窃取だけでなく、業務の妨害を主な目的とする新たなタイプの脅威アクターの一例です。こうした攻撃には、技術的対応だけでは十分に対処できません。

事業継続と社会的信頼の維持のためには、侵害そのものだけではなく、「インシデント全体」を視野に入れた管理体制を構築しておく必要があります。
ぜひご相談ください。

Dougie Grant - Executive Director
ドゥーギー・グラント

日本サイバーディフェンス 執行役員兼グローバルインシデント管理責任者

英国警察および国家サイバーセキュリティセンター(NCSC)での30年の経験を活かし、グラント氏はNCD社のサイバーインシデント管理と対応を国際規模で牽引しています。

Edit Template

その他の記事を読む

能動的サイバー防御への備え

日本の能動的サイバー防御(ACD)政策が、重要インフラ事業者に新たな報告義務を課し、サイバーセキュリティを変革。市田章(元海上自衛隊海将補)が、その影響と企業が取るべき対策を解説。...

日本サイバーディフェンスとファイブキャスト、 日本のサイバー脅威インテリジェンス強化にむけた協業を発表

ファイブキャストと日本サイバーディフェンスが、日本のサイバー脅威インテリジェンス強化のため戦略的提携を発表。AI駆動のOSINTと専門的知見を融合し、サイバー犯罪・偽情報対策を強化。...

サイバーインシデントへの適切な対応方法

適切なサイバーインシデント対応がなければ、被害は拡大します。迅速な意思決定とプロアクティブな対応フレームワークの構築を、ジェイミー・サンダース博士が解説。...

日本の重要インフラを守る

日本のエネルギー・食料安全保障を守るため、重要インフラのOTシステムのサイバーセキュリティ対策が急務です。サプライチェーンの脆弱性と防御戦略を、青木弘道氏が徹底解説...

サイバーレジリエンス構築のための戦略ガイド

サイバーレジリエンスは企業の必須戦略。ジェイミー・サンダース博士と世界経済フォーラムの洞察に基づく、サイバーインシデントの影響を最小限に抑える5つの戦略とは?...

リーダーシップとサイバーレジリエンス(耐性):ノーブル氏の視点​

サイバーセキュリティは経営課題。ジョン・ノーブル氏が、リーダーが組織のサイバーレジリエンスを高めるために問うべき重要なポイントを解説。...

NCD サイバー脅威インテリジェンス:Gelsemium APTグループ について

中国系APTグループ「Gelsemium」が日本企業を標的にしたサイバースパイ活動を強化。高度なマルウェアを駆使する脅威の実態と、防御策を詳しく解説。...

日本企業がランサムウェアの脅威を克服する方法

ランサムウェア攻撃が日本企業の脆弱性を露呈。組織のレジリエンスを強化し、サイバー攻撃に対抗する実践的な戦略を解説。...

金銭的影響を超えて:サイバー攻撃の真の代償

サイバー攻撃の影響は金銭的損失だけではありません。重要インフラの停止、安全保障の脅威、実社会への影響を徹底分析。Dougie Grant氏が解説する、サイバーリスクの真の代償とは。...
Edit Template