「パスワードをリセットするな」FBIが異例の警告──企業IT部門が標的の新手口（Forbes JAPAN）

Scattered Spider（スキャタード・スパイダー、「散らばった蜘蛛」）とは、今日の様々な組織が直面している最も危険な脅威の1つに与えられた、やや柔らかい響きの名前だ。小売業や航空業界などを標的とした壊滅的な攻撃の背後にいるとみられるランサムウェア攻撃者で、その活動は衰えを見せていない。ただし最近になって、多数の攻撃については同グループが実行犯ではない可能性が報じられている。 この点については後で説明するが、連邦捜査局（FBI）と米国サイバーセキュリティ・インフラセキュリティ庁（CISA）が共同で発行したサイバーセキュリティ勧告を更新し、重要な新警告を出した──「パスワードをリセットしてはならない」。以下では、FBIの最新警告と進行中のScattered Spiderの脅威、そしてその他の危険なランサムウェア集団がもたらす脅威について、知っておくべきポイントを示す。 ■FBIの「パスワードをリセットするな」警告の理由とは？ パスワードが侵害される攻撃に直面していながら「リセットするな」と言われるのは、一見すると直感に反する。実際、グーグルは長年にわたってGmail利用者へパスワード変更を促し、多くのサイバーセキュリティ警告でも同様の助言がなされてきた。しかし、サイバーセキュリティでは常に文脈が重要だ。攻撃を防ぐ目的で、より安全な技術（例えばパスキー）へ移行するためのパスワード変更や、弱い・過去に漏洩したパスワードを使わないことは理にかなう。だが今回の助言は別であり、Scattered Spiderが攻撃で採用する特定の手口を封じるものだ。 ■従業員になりすまし、IT部門やヘルプデスクのスタッフを標的に 米国時間2025年7月29日付で更新されたFBIとCISAのサイバーセキュリティ勧告（アラートコードAA23‑320A）では、Scattered Spiderが「従業員になりすましてIT部門やヘルプデスクのスタッフを説得し、機密情報の提供や従業員パスワードのリセット、さらに従業員の多要素認証（Multi‑Factor Authentication；MFA）を攻撃者が制御する別のデバイスへ転送させている」と警告している。 FBIは、同グループが複数回の電話や連絡を組み合わせた「多層的なソーシャルエンジニアリング」を用い、パスワードリセットを実行するための手順をサポート担当者から聞き出していると説明する。「その情報を特定した後、攻撃者は従業員やヘルプデスクに繰り返し電話をかけ、標的となる従業員のパスワードリセットに特有の情報を収集し続ける」とFBIは述べる。この一連の情報収集の頂点として、該当のヘルプデスクへ極めて標的を絞ったスピア（標的型）フィッシングの電話がかけられ、「パスワードをリセットし、MFAトークンを転送する」よう誘導する。 FBIは、重要なシステムにアクセスするすべてのサービスやアカウントでフィッシング耐性の高いMFAを採用するよう組織に勧告している。また「ヴィッシング（音声通話を利用したフィッシング）やスピアフィッシングに対抗する従業員教育を継続的に行うべきだ」と指摘し、英国国家サイバーセキュリティセンター（U.K. National Cyber Security Centre）の最新の対策指針に従うよう助言する。 具体的には、ヘルプデスクのパスワードリセット手順を見直し、特に権限が高いアカウントのリセット時にヘルプデスクがどのようにスタッフの資格情報を確認するかを点検することが推奨されている。