電話1本で数百億円の損害 17歳の犯人が突いた「人間の脆弱性」

　2025年、英国の大手小売り企業やメーカー数社が大規模サイバー攻撃に見舞われ、数百億円規模の被害が発生した。その手口は高度な技術ではなく、電話一本で始められるものだった。

　2025年4月18日から21日、英国のスーパーマーケットチェーンMarks and Spencer Group（M&S）のSNSが炎上した。同社の実店頭ではコンタクトレス決済ができなくなり、クリック＆コレクト（EC＜電子商取引＞サイトで購入した商品を実店舗や宅配ボックスなどで受け取る仕組み）が停止し、混乱が広がったためだ。同国はイースター休暇中で、買い物客でごった返す時期だった。 　当初、この障害は時折発生するIT障害の1つと捉えられていた。しかし同月22日、M&Sはオンラインショッピングや店頭受け取りサービスなどの公開サービスを停止。最高経営責任者（CEO）のスチュアート・マシン氏はメディアを通じ、同社がサイバー攻撃を受けた事実を認めた。 　その後、消費者協同組合Co-operative Group（Co-op）や百貨店を展開するHarrods、自動車メーカーJaguar Land Roverも被害に遭った。攻撃を主導したのは、英語圏のサイバー犯罪集団「Scattered Spider」や「Lapsus$」「ShinyHunters」だ。

　セキュリティベンダーCheck Point Software Technologiesのシャーロット・ウィルソン氏によると、一連の攻撃における侵入ルートは「電話」だったという。「何者かが従業員を装い、ヘルプデスクの担当者を説得してシステムへのアクセス権を奪った。この会話をきっかけに、数百億円規模の損害が発生した。英国の小売史上最悪のサイバー攻撃は、会話から始まった」（ウィルソン氏） 　「侵入経路が技術とは関係なかったことを把握できたことは重要だ」。セキュリティ企業ハントレスのムハンマド・ヤヒヤ・パテル氏はこう説く。小売業に限らず、全てのセキュリティチームがこの事例を教訓として壁に貼っておくべきだという。 　「攻撃者はゼロデイ脆弱性を見つけた訳でも、次世代ファイアウォールを突破した訳でもない。電話をかけ、M&Sの従業員に成りすまして、外部委託先のサービスデスクにパスワードのリセットを求めた。それだけだ」（パテル氏） 　電話の後、Active Directory（AD）のデータベース流出、認証情報の解析、VMwareホストへのランサムウェア展開へと発展していった。これら全ては、サービスデスクの運用プロセスに不備があったために起きたことだ。 　M&Sの会長アーチー・ノーマン氏は英議会で「高度ななりすまし」であると表現したが、電話でのなりすましはScattered Spiderの常とう手段として知られていた。2023年9月、ラスベガスを中心にホテルやカジノを運営するMGM Resorts Internationalがランサムウェア攻撃を受けた際の攻撃手法として認知されていたはずだが、M&Sは攻撃を受けてしまった。 　「衝撃的なのは、逮捕された4人の年齢が17歳から20歳だったことだ。彼らは潤沢な資金を持つ国家をバックに持っていない。英語を操り、組織の技術的制御と人間、プロセスの間の『隙』を見つけるのが極めて巧みだった」（パテル氏）

TechTargetジャパン