FBIは「Scattered Spider まとめましたが、その始まりは一本の電話からでした

July 6, 2026
7/6/2026
Lucie Cardiet
サイバー脅威リサーチマネージャー
FBIは「Scattered Spider まとめましたが、その始まりは一本の電話からでした

2026年4月10日、フィンランドの警察は、日本行きの飛行機に搭乗しようとしていた19歳の男性を逮捕した。彼は2テラバイトのハードドライブを2台所持していた。イリノイ州北部地区で公開された修正刑事告訴状によると、その旅行者は米国とエストニアの二重国籍を持つピーター・ストークスであり、ハードドライブは問題のほんの一部に過ぎなかった。FBIは、彼が Scattered Spiderのメンバーであり、政府が100件以上のネットワーク侵害および1億ドルを超える身代金支払いに結びつけている侵入攻撃の実行を支援したと主張している

私はその訴状をすべて 読みました。35ページに及ぶこの文書は、私がこれまでに公に目にした中で、Scattered Spider について最も明確な一次資料による記述です。このグループに関する私たちの知識のほとんどは、ベンダーのブログや事後的に作成されたインシデント概要に基づいています。しかし、これはそれらとは異なります。これは、攻撃の手順を段階的に詳述し、使用されたツールを明記し、ログを引用した、宣誓付きの連邦宣誓供述書なのです。

話を進める前に、2点注意しておきたい。告発とは単なる申し立てであり、有罪判決ではない。また、政府はこれらについて法廷で立証していない。さらに、被害者の身元は匿名化されているため、「F社」がどこなのかについては推測しない。ここで重要なのは捜査手法であり、その手法は記録に残されている

この襲撃の経緯(発生順)

その中心となるのは、2025年5月にF社で発生した侵入事件であり、宣誓供述書では同社は数十億ドル規模の高級小売業者であると説明されている。以下は、FBIが引用したネットワークログから直接抽出したチェーン図である。

すべては電話から始まった。2025年5月12日頃、攻撃者は2つのGoogle Voice番号からF社のITヘルプデスクに電話をかけ、社員を装って、パスワードや多要素認証に使用するモバイル端末などの認証情報をリセットしてほしいと依頼した およそ2~3時間のうちに、彼らは3つのユーザーアカウントを乗っ取った。エクスプロイトmalware使われていない。ただ1本の電話と、リセット操作だけで。

その3つのアカウントのうち2つは、IT管理者のものだった。攻撃者は、盗み出したばかりの標準アカウントを利用して管理者の高権限の認証情報を取得し、それを用いてF社の仮想サーバーやクラウドコンピューティングを管理するプラットフォームにアクセスした。

そこから先には、粘り強さと脱出策が必要だった。彼らはF社のサーバーにngrokをインストールした。これは、プライベートネットワーク内部からインターネットへと安全なトンネルを開く、正当な開発者向けツールであり、境界防御をトリガーすることなく、それを迂回するクリーンな方法だった。その後、彼らは別の正当なリモートアクセスユーティリティであるTeleport.sh とAmazon S3ストレージを組み合わせて、データを外部へ持ち出した。3日間にわたり、彼らは少なくとも77ギガバイトのデータを持ち出した。

彼らはランサムウェアを使って攻撃を締めくくろうとした。F社のセキュリティチームがその動きを阻止し、最終的に攻撃者を排除した。しかし、その時点でデータはすでに失われてしまっていた。 5月15日、攻撃者たちは乗っ取ったメールボックスから、「重要:データを盗みました。直ちに連絡してください [sic]」という件名の身代金要求メールを送信した。第三者を通じた交渉の結果、「800万ドルなら妥当な価格だ」という要求が提示された。F社は支払いを拒否した。業務中断および被害軽減措置による損失額は、約200万ドルに上ったと報告されている

また、この告発状は、同グループが「ランサムウェア・アズ・ア・サービス(RaaS)」の経済圏に属していることも示唆している。ストークス氏と関連のあるサーバー上で、捜査当局は「DragonForce」と名付けられたウィンドウ内のチャットを発見した。これはRaaSのブランド名であり、その中には、「100万以上も稼がせてやったのに」と、新しいログインIDの取得に500ドルを請求されたことに不満を漏らすアフィリエイトの書き込みも含まれていた。 DragonForceは固定の組織ではなく、アフィリエイトがレンタルするコードとインフラストラクチャであり、私が『ContiからBlack Basta 、Black Basta :終わりのないランサムウェアのリブランディング』で追跡したのと同じ、ContiおよびBlack Basta の上に構築されている。

‍身代金要求書のブランド名は変わるが、その手口は変わらない。

なぜ予防措置では何も検出されなかったのか

その一連の経緯をさかのぼって、何が一度も起こらなかったかに注目してください。ログインの失敗も、malware 、パッチが適用されていないサービスに対するエクスプロイトもありませんでした。 開かれたすべての扉は、有効な鍵で開かれたのです。

攻撃者がその従業員になりすまして電話をかけ、ヘルプデスクが認証情報をリセットするため、次回のログインでは、本物のユーザー本人が本物のパスワードと本物のMFAデバイスを使用してログインすることになります。認証は成功します。権限昇格は、そのアカウント独自の正当な手順(一時パスワードへの切り替え)を利用して行われるため、ID管理システムには承認された権限昇格として記録されます。 外部へのトンネルは、開発者が日常的に使用するツールであるngrokとTeleportを経由して構築されます。データはAmazon S3に保存され、これは何百万もの企業が一日中アクセスしているエンドポイントです。これが「ギャップ2」であり、認証が成功すると、そのまま「ギャップ3」へと移行し、データの移動は検知されません。監査ログはこれを問題なく通過させ、データの持ち出しは一見普通のトラフィックの中に隠されていました。

セキュリティ責任者の皆さんには、この点についてじっくり考えていただきたい。F社のチームは決して油断していたわけではない。彼らはランサムウェアの攻撃段階を察知し、攻撃者を排除した。予防策やエンドポイント制御は、それらが設計された段階において、その役割を果たしていた。被害が発生したのは、ヘルプデスクによるリセットが成功してから、77ギガバイトのアップロードが完了するまでの間の、そのわずかな時間だった 。この「隙間」は、ユーザーの行動に起因するものだ。盗まれたIDも、本物のIDも、どちらも認証を通過してしまうのだ。 両者を区別する唯一の要素は、その後に何が行われるかです。普段アクセスすることのないシステムにアクセスする管理者アカウント、本番サーバーからの初めてのngrokトンネル、数十ギガバイト規模の突発的なS3アップロードなどです。これらはいずれもシグネチャではありません。すべてがパターンなのです。

2024年のセキュリティ強化ガイドラインは依然として有効ですが、このアクセス経路についてはもはや対象としていません。Phishing多要素認証(MFA)は重要です。しかし、ヘルプデスクによるリセットを行うと攻撃者に新たな正当なMFA登録情報が渡されてしまいます。その結果、盗まれたパスワードを阻止すべきだったセキュリティ対策が、リクエストに応じて間違った人物に再発行されてしまうのです。MFAのリセットやSMSコードが、それ以外では堅牢なID管理スタックの「弱点」となる理由については、以前にも記事で触れたことがあります。

‍その脆弱性はMFAそのものではありません。脆弱性とはリセットそのものと、リセットが成功した後に攻撃者が行う一連の行動すべてにあります

それらのツールはすべて正規のものでした

この話には、特注のインプラントは登場しません。Ngrok、Teleport.sh、Amazon S3はエンジニア向けに開発されたツールですが、それこそが、攻撃者にとっても有効に機能する理由なのです。スキャンすべき対象もなく、ブロックリストに登録されたものもなく、malware一目でわかるような要素も一切ありません。

‍ブランドではなく、行動を追跡しましょう。

問題は、ngrokが悪意のあるものかどうかではありません。なぜなら、そうではないからです。問題は、これまでそのような通信を行ったことのないサーバーから、データセンター内部を経由してパブリックインターネットへとトンネルが開設された場合、それを時間内に検知し、対応できるかどうかということです。

10代の少年がどうやって捕まったのか

この告発文の残りの半分は捜査に関する部分ですが、FBIが用いた手法は、擁護者たちが必要とする手法と重なるため、それだけでも一読の価値があります。

宣誓供述書によると、ストークスはその金について決して口をつぐんでいなかった。スナップチャットやフェイスブックに投稿された画像からは、17歳から18歳の間にパリ、ニューヨーク、バンコク、ドバイを訪れ、高級ホテルに滞在し、札束や腕時計を手にし、「HACK THE PLANET」と刻まれたダイヤモンドのネックレスを身につけていたことが確認された彼は誕生日に、仮想通貨取引所への送金データが記録されたデータベースをちょうど入手したばかりだとメッセージを送っており、そのメッセージの日付は国務省の記録にある彼の生年月日と一致していた。また、エストニアの警察署を撮影した写真には、自らFBIに出頭するキャラクターに自分を例えるキャプションが添えられていた。

これらは、防御側に優位をもたらす運用セキュリティ上のミスであり、私が『OPSECの失敗』で指摘したのと同じパターン、すなわち脅威アクターのミスが防御側に有利に働く仕組みです。
「HACK THE PLANET」と書かれたネックレスを身につけたストークスの写真。宣誓供述書 14ページ。

しかし、興味深いのは技術的な追跡調査の部分だ。F社への攻撃で使用されたngrokを設定したアカウントは、Windowsのインストールに対する永続的な識別子である「Microsoft Global Device ID」に関連付けられていた。FBIは、そのデバイスのIPアクティビティを、ストークスとすでに関連付けられていたアカウント(Snapchat、Apple、Facebook)へのログインに使用されたIPアドレスと、時間軸に沿って照合した。

タリン、ニューヨーク、タイの同じIPアドレスが、同じ日に、時には数時間以内に検出された。彼は攻撃インフラにVPNプロキシを使用していた。しかし、それは問題ではなかった。なぜなら、相関関係は単一の接続からではなく、彼のデジタルライフ全体にわたって構築されていたからだ。

最も衝撃的な詳細は、2025年1月8日、その端末がタリンのIPアドレスからUbisoftアカウントを通じてオンラインゲーム『Growtopia』にログインしたことであり、その前日には、同じIPアドレスから彼のAppleアカウントの1つと、そのUbisoftアカウントに、わずか2分間隔でアクセスされていたということだ。

1つのIPアドレスは単なるノイズに過ぎない。VPNは1つの接続を隠すだけだ。捜査官の論理によれば、有罪を立証するのは、異なる次元や時間を超えて相関する多数の信号のパターンである。これは、ネットワーク内で盗まれた身元情報と本物の身元情報を区別する論理と同じである。

FBIはストークスに対して、優れた捜査戦略が侵入者に対して行うのと同じことを行った。つまり、決定的な証拠を一つだけ探し求めるのをやめ、行動の関連性を分析し始めたのである

これは決して遠い先の脅威ではない

この訴状が明らかにしているもう1つの点がある。Scattered Spider 、遠く離れた州のプログラムScattered Spider 。ストークスは19歳だ訴状で彼と共に共犯者として名指しされた人物は、犯行当時、米国在住の未成年者であり、現地で起訴された。訴状で言及されているもう1人のメンバー、ノア・アーバン(通称「ソーサ」および「キング・ボブ」)、SIMスワッピング詐欺の罪で 120ヶ月の刑を言い渡されている

彼らは若く、英語を母語とするネイティブスピーカーで、電話対応が非常に上手であり、攻撃対象となっているシステムにも精通しています。だからこそ、ヘルプデスクを標的とした攻撃はこれほど効果的なのです。サービスデスクに電話をかけてくる人物は、なりすましている社員とまったく同じ話し方をするのです。

そして、ストークスだけが最後ではない。2026年4月、タイラー・「タイラービー」・ブキャナンは、同グループが2022年にphishing 有罪を認めた。 2026年6月タルハ・ジュベイルとオーウェン・フラワーズは2024年8月にロンドン交通局(TfL)の機能を麻痺させた攻撃をめぐり、ロンドンでの公判初日に有罪を認めた。 検察当局によると、ジュバイールは「スター・チャット」と呼ばれるSIMスワッピング請負チャネルを共同運営し、通信事業者の従業員から認証情報をフィッシングで詐取していたとされる。彼はこれとは別に、ニュージャージー州で、米国の47社に対する120件以上の侵入事件および少なくとも1億1500万ドルの身代金支払いを巡り起訴されている 同じ手口、多くの実行犯、一つの手法:人間を迂回して、有効なアクセス権を利用する。

T-Mobileの顧客を標的としたStar ChatのSIMスワッピング「領収書」のスクリーンショット出典:KrebsOnSecurity。
これらのアクターたちが活動するより広範なエコシステム「The Com」について、また、なぜそれが個々の逮捕を乗り越えて存続し続けるのかについては、『Scattered Lapsus$ Hunters 活動を休止するとHunters 、脅威は依然として残っている』という記事で書きました。

確認すべき事項

セキュリティプログラムを運用しているなら、ストークスの指摘は、無料で実施できる机上訓練となります。自社の環境に対して、以下のような質問を投げかけてみる価値があります:

  • もし今日、誰かがソーシャルエンジニアリングの手法を用いて、ヘルプデスクに従業員のパスワードと多要素認証(MFA)のリセットを行わせた場合、次回のログインで正常に認証されたとしても、どのような警告が表示されるでしょうか?
  • IDごとに動作の基準値は設定されていますか?つまり、通常のユーザーが特権認証情報を取得して新しいシステムにアクセスするような行為が、異常として目立つようになっていますか?
  • 本番サーバーからのngrokやTeleportによる初めてのトンネル接続、あるいはS3への大規模なアウトバウンド転送は、アップロードが完了する前に調査すべき事項として検出されるでしょうか?

これは、『ShinyHuntersは単なるグループではない。それはパターンだ』という記事で、ShinyHuntersの各キャンペーンに見られたのと同じ認証後のパターンです。つまり、攻撃者は異なり、侵入経路も異なりますが、ログインに成功した後は、アクセス、持続化、探索、情報持ち出しという一連のプロセスが同じように進行するというものです。ストークス氏の申し立ては、この同じ説を裏付けるさらなる証拠であり、今回は宣誓供述書として記されています

Vectra AIでは、ログイン成功後の行動に 焦点を当てています。これは、ID管理、SaaS、クラウドの各領域にまたがり、従来のシグネチャベースの検知や予防策では捕捉しきれない領域です。

Scattered Spider の全容や、初期の行動の兆候がどこに現れるかについて詳しく知りたい場合は、『Mind Your Attack Gaps』の第2章「ギャップ2:認証が成功する」をご覧ください。

よくある質問 (FAQ)