Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

散り散りになったHunters 暗躍を表明、しかし脅威は残る

2025年9月17日
Lucie Cardiet
サイバー脅威リサーチマネージャー
散り散りになったHunters 暗躍を表明、しかし脅威は残る

Scattered Spider、Lapsus$、ShinyHuntersなど、より広範なComエコシステムのもとで活動していたメンバーが、予想外の公式声明で"暗黒への旅立ち"を宣言した。彼らの最後の声明は、彼らの目的が達成されたことを強調し、何人かのメンバーは匿名の中に消えていくが、他のメンバーは「あなた方が日常生活で使っているシステムを研究し、改善し続ける。沈黙のうちに。  

この発表には劇場型退団の特徴がすべて含まれているが、擁護派は安心してはならない。これは結論というよりも、むしろ重要なポイントである可能性が高い。IDを武器化し、SaaSプラットフォームを悪用し、公衆の面前で恐喝するグループの能力は、サイバー犯罪の形を根本的に変えた。

SOCチームにとっては、これで終わりではなく、データ盗難がレバレッジになる前に、侵害の微妙なシグナルを検知することに集中し続けるよう注意を喚起するものである。

散り散りになったHuntersお別れの投稿
別れの投稿のスクリーンショット。出典 X

インサイド・ザ・コム:クルーのエコシステム

Scattered Lapsus$Hunters 理解するには、The Comを理解する必要がある。ザ・コミュニティの略で、単一のハッキング・グループではなく、世界中に数千人のメンバーを擁するサイバー犯罪者のエコシステムである。派閥は絶えず出現し、合併し、ブランド名を変えている。Scattered Spider、Lapsus$、ShinyHuntersは単に最も目立つ名前であり、その他にもまだ発見されていないものがたくさんある。

起源と進化

コムのルーツは2010年代後半にさかのぼる。ティーンエイジャーがインスタグラムのアカウントを乗っ取り、貴重なショートハンドルを売りさばいたのだ。これはすぐにSIMスワッピングへと発展し、通信会社の従業員を買収したり、騙して電話番号をリダイレクトさせたりした。これにより攻撃者はSMSベースの多要素認証をコントロールできるようになり、電子メール、クラウドサービス、暗号通貨ウォレットへの道が開かれた。ある被害者は、2,000万ドル以上の暗号通貨をコムとつながりのある業者に奪われた

法執行機関は2018年に早期逮捕を行い、2019年までに数人のメンバーが数百万ドルを盗んだとして判決を受けた。しかし、ネットワークは回復力があることが証明された。サブグループは分裂し、適応し、SIMスワップだけでなくSMSに移行した。 フィッシングSMS、SaaSの搾取、恐喝、さらにはスワッティングへと移行した。

ザ・コムが危険なのは、その規模と適応力、そして若さにある。メンバーは流動的で、手口は粗野な嫌がらせから巧妙な侵入まで多岐にわたり、メンバーの多くはネットワークを侵害することを単なるオンライン活動のひとつと考えるデジタルネイティブである。常に再生する生きた生態系であり、1つのクルーが倒れても、他のクルーがすぐに立ち上がる。

コア・ファクション

ザ・コムは広大で分散しているが、3つの派閥が喧噪を越えて台頭し、現在では守備側が認識するプレーブックを形成した:

  • Scattered Spider は大規模なソーシャル・エンジニアリングに重点を置いていた。彼らは、認証情報を乗っ取るために、ビッシングコール、ITヘルプデスクへのなりすましSIMスワップを得意としていました。彼らの標的は、シングルサインオン・プロバイダー、電気通信事業者、そして1つの漏洩したIDが環境全体のロックを解除する可能性のある大企業でした。
  • シャイニーハンターズ は、大量のデータ窃盗と収益化を専門としていた。彼らはSaaSプラットフォームや開発者環境に侵入し、データベースを盗み、RaidForumsやBreachForumsのようなフォーラムを経由してデータを流した。アクセスやデータの信頼できる売り手としての評判は、アンダーグラウンド経済の中心的存在となった。
  • ラプソスはスペクタクルを得意としていた。彼らはランサムウェアによる暗号化の代わりに、圧力を最大化するために インサイダーのリクルート、アクセス窃盗、公開リークに頼った。彼らは恐喝を劇場のように扱い、テレグラム・チャンネルを侵害のライブ放送に変えた。

これらの派閥は共に補完的なモデルを構築した。Scattered Spider ソーシャル・エンジニアリングでドアをこじ開け、シャイニーハンターズはアクセスを利益に変え、LAPSUS$は支払いを強要するために宣伝を武器にした。

お別れのメッセージは、これらのクルーが注目度を競い合う別々のブランドではなく、同じエコシステムの相互依存の一部であることを確認させた。

お別れの言葉には他に誰の名前があったのか?

"我々LAPSUS$、Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari、その他多くの人々は、暗闇に行くことを決めた。"

お別れのメッセージは、撤退を告げる以上のものだった。そこには、ザ・コムの幅の広さを見せつけるようなハンドルネームが列挙されていた。

  • IntelBrokerやYukariのようなフォーラムブローカーや管理者は、盗まれたデータが取引されるマーケットプレイスを運営し、アクセスと収益化のギャップを埋めていた。
  • Prosox、Kurosh、TOXIQUEROOT、Pertinax、WyTroZzといったベテラン汚損者は、2010年代のウェブ汚損文化にルーツを遡り、初期の悪名が恐喝主導の犯罪へと発展したことを示す。
  • Trihash、Yurosh、yaxsh、N3z0x、Nitroz、Clownを含む運用のスペシャリストは、クレームの前面に出ることはほとんどなかったが、彼らの存在はインフラの役割を示すものだった。 フィッシング キット、アクセス・ブローカー、ネゴシエーターなど、マシンを稼働させ続けるために必要なインフラとしての役割を示している。

コムは1つのギャングではなく、サプライチェーンである。アクセス、データ、宣伝は役割分担されており、古参のハッカーは若いオペレーターと同席している。

名前を公表すること自体が戦術であり、帰属を混乱させ、固定したブランドを維持することなく、後継者が評判を受け継ぐことを保証するものだった。

グループ、ベテラン、スペシャリストのモザイクは、ザ・コムが単一の旗印ではなく、分業体制で繁栄していることを示している。そしてそれは、ランサムウェアを超えた恐喝、つまりアクセス、データ、認知が真の武器となったという、彼らの決定的な革新の舞台となっている。

ランサムウェアを超えて新しいモデルとしての恐喝

のようなランサムウェア・クルー ロックビットグローバルようなランサムウェア・クルーは、現在ではRaaSプラットフォームとして動作し、オンデマンドでカスタムペイロードを生成している。彼らのモデルは依然として 暗号化、malware 展開、そして長時間の滞留、これらはすべて、防御者が時として検知できるノイズを生み出す。

散Hunters 他のコム派閥の場合、アプローチは異なる。彼らはアクセス、盗難、暴露に焦点を当てる。ジャガー・ランドローバーのシステムのスクリーンショットや、OAuthトークンを使って流出したセールスフォースのベンダーのデータは、暗号化の前兆ではなく、活用そのもののだ。

恐喝はもはやアクセス回復のためではなく、社会的屈辱、顧客の反発、規制当局の監視の脅威を通じて圧力を最大化するためのものである。

このモデルは、アイデンティティとSaaSプラットフォームがデフォルトで信頼されている環境で繁栄する。攻撃者は通常のトラフィックに紛れ込み、正規の統合を悪用し、リアルタイムで IT スタッフになりすます。一部の利用方法 フィッシング ドメインを使ってOktaやその他のSSOプロバイダを偽装し、なりすました「ファクター」ページでMFAコードを取得する者もいます。また、従業員に直接電話をかけ、セッショントークンを渡すよう説得する者もいる。侵入が目に見えるようになる頃には、多くの場合、社内のアラートではなく、Telegram上でのリークを通じてである。

セールスロフト セールスロフト・ドリフトのOAuth侵害は、こうした侵害がいかに静かなものであるかを示しました。攻撃者は、malware 防御を発動させることなく、認証情報やAPIキーを含むSalesforceのデータを吸い上げました。データそのものが取引材料だったのです。現在では、通常とは異なる ID の使用、予期しない SaaS との統合、不規則な MFA プロンプトなどの微妙なシグナルが、侵害の真の指標となっています。

SaaSとAI時代のセキュリティ・ギャップ

COMは重大なセキュリティ・ギャップを露呈している。従来のツールは、malware ランサムウェアの暗号化を捕捉するために構築されたものだが、恐喝を第一に考えるグループは、こうした防御がほとんど見えない方法で活動している。彼らは、企業が本来信頼しているIDやSaaSプラットフォームを悪用し、盲点を侵入口に変えてしまう。

このギャップはいくつかの点で見られる:

  • Malware防御はOAuthの悪用を見逃す。攻撃者が盗んだトークンを使ってSalesforceやGoogle Workspaceのデータを吸い上げても、malware 実行されない。エンドポイントセキュリティは何も検知いない。
  • ネットワーク監視がSaaSトラフィックを見逃す。データは暗号化された経路でクラウドアプリケーション間を移動するため、境界ツールでは解析できず、正規のフローに紛れて流出する。
  • MFAログだけではソーシャル・エンジニアリングを見逃す.従業員がライブ通話でセッション・トークンを共有するよう説得された場合、認証ツールは「有効なログイン」だけを表示し、侵害は表示しない。

ランサムウェアの時代は、暗号化とノイズの多い操作によって定義された。

恐喝の時代は、ステルス、アイデンティティの悪用、SaaSの悪用で繁栄している。

このギャップを埋めるにはには、署名だけでなく、行動の可視化が必要である。そこで Vectra AIプラットフォームは、クラウド、SaaS、ネットワーク、およびIDシステム全体にわたる不正使用の微妙なシグナルを検出することで可視化を実現し、盗まれたデータが活用される前に恐喝を阻止するチャンスをチームにもたらします。

実際にどのように機能するか、セルフガイド・デモをご覧ください。

よくあるご質問(FAQ)