新たな脅威グループ「Cordial Spider」「Snarky Spider」がScattered Spiderの手法を悪用、重要インフラを標的に

CrowdStrikeが警告：新たな恐喝グループがScattered Spiderの手法を悪用

セキュリティ企業CrowdStrikeは、Cordial SpiderとSnarky Spiderと名付けられた2つの脅威グループが、重要インフラ分野の組織を標とした迅速なデータ窃盗と恐喝攻撃を展開していると発表した。これらのグループは、少なくとも2025年10月から活動を続けており、主に米国の学術、航空、小売、ホスピタリティ、自動車、金融サービス、法務、テクノロジー分野の組織を標的にしているという。

Scattered Spiderとの関連性と攻撃手法

CrowdStrikeの上級副社長であるAdam Meyers氏によると、これらのグループはScattered Spiderと密接に関連しており、The Comと呼ばれる脅威アクターの一員であるとされる。また、SLSHやShinyHuntersなどのサブグループとも連携している可能性があるという。

攻撃手法としては、音声フィッシングやソーシャルエンジニアリングを用いて、被害者のIDプラットフォームに侵入し、SaaS環境内を移動する。具体的には、従業員をターゲットとした音声通話、テキストメッセージ、電子メールを介して、正規のシングルサインオン（SSO）ページやIDプロバイダーを装ったフィッシングページに誘導する。これらのページでは、資格情報、セッション鍵、トークンなどを窃取され、攻撃者は被害者のSaaSエコシステム全体にアクセスを拡大する。

多要素認証の回避とデータ窃盗

攻撃者は、初期侵入後に多要素認証（MFA）デバイスを削除・再設定し、悪意のある活動を示すメールやアラートを削除することで、組織の検知を回避する。その後、データ窃盗と恐喝を目的とした攻撃に移行する。

Cordial SpiderとSnarky Spiderは、攻撃手法に若干の違いがあるものの、その戦術や手順は驚くほど類似している。具体的には、活動時間帯、使用するフィッシングドメインプロバイダー、好みのOS、データリークサイト、MFA登録に使用するツールなどが異なるという。

例えば、Cordial Spiderが運営していたデータリークサイト「BlackFile」のドメインは、水曜日時点でオフラインとなっている。また、CrowdStrikeは恐喝要求額の具体的な範囲を公表していないが、Palo Alto NetworksのUnit 42によると、Cordial Spider（別名：CL-CRI-1116、UNC6671）の要求額は通常7桁（100万ドル単位）に及ぶという。

被害を受けなかった組織への報復攻撃

恐喝要求に応じなかった被害者には、DDoS攻撃が行われることがある。また、Snarky Spiderはより攻撃的な報復手段として、被害者組織の従業員に対するスワッティング（いたずら通報）を実行することもあるとMeyers氏は述べている。

検知回避のための住宅用プロキシネットワーク利用

これらのグループは、住宅用プロキシネットワーク（Mullvad、Oxylabs、NetNut、9Proxy、Infatica、NSOCKSなど）を悪用し、IPベースの検知を回避している。住宅用プロキシネットワークは、一般家庭のIPアドレスを使用するため、正当なトラフィックと見分けがつきにくいという特徴がある。ただし、これらのネットワークは合法的な用途にも利用されるため、悪用されるリスクが指摘されている。

関連調査と業界への影響

CrowdStrikeの警告は、先週Palo Alto NetworksのUnit 42と小売・ホスピタリティ情報共有分析センター（RH-ISAC）が発表した調査に続くものである。同調査では、Cordial Spiderが小売・ホスピタリティ業界をはじめとする組織を標的にした一連の攻撃について報告されている。

専門家は、これらの攻撃がIDシステムを標的とした迅速なデータ窃盗と恐喝という新たな脅威の波を象徴していると指摘。組織は、従業員の認証情報管理の強化や、SaaS環境における異常なアクセスパターンの監視など、包括的なセキュリティ対策を講じることが求められている。

「これらのグループは、Scattered Spiderの手法を迅速に取り入れ、さらに洗練された攻撃を展開している。組織は、IDプラットフォームとSaaS環境のセキュリティを強化し、リアルタイムでの監視と迅速な対応体制を整えることが不可欠だ」
— Adam Meyers, CrowdStrike上級副社長