米国 Five Eyes 脅威アクターScattered Spiderについての警告 (2025.07.29)

こんにちは、丸山満彦です。

Scattered Spiderは、北米、英国といった地理的に離れた場所に散在している若者からなる高度な技術をもった脅威アクターで、一部逮捕者がでているということのようですが、活動は今でも続いているようで、米国（CISA, FBI）、カナダ（CCCS, RCMP）、オーストラリア（ACSC, AFP）、英国（NCSC）が、警告を更新していますね。

● CISA

・2025.07.29 Scattered Spider

Alert Code AA23-320A

Scattered Spider	Scattered Spider
Actions for Organizations to Take Today to Mitigate Malicious Cyber Activity	悪意のあるサイバー活動を緩和するために組織が今すぐ取るべき措置
Maintain offline backups of data that are stored separately from the source systems and tested regularly.	ソースシステムとは別に保存し、定期的にテストするデータのオフラインバックアップを維持する。
Enable and enforce phishing-resistant multifactor authentication (MFA).	フィッシング対策の多要素認証（MFA）を有効にし、実施する。
Implementing application controls to manage and control software execution.	ソフトウェアの実行を管理および制御するためのアプリケーション制御を導入する。
Summary	要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Royal Canadian Mounted Police (RCMP), Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC), Australian Federal Police (AFP), Canadian Centre for Cyber Security (CCCS), and United Kingdom’s National Cyber Security Centre (NCSC-UK)—hereafter referred to as the authoring organizations—are releasing this joint Cybersecurity Advisory in response to recent activity by Scattered Spider threat actors against the commercial facilities sectors, subsectors, and other sectors. This advisory provides tactics, techniques, and procedures (TTPs) obtained through FBI investigations as recently as June 2025.	連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、カナダ王立騎馬警察（RCMP）、オーストラリア信号局（ASD） オーストラリアサイバーセキュリティセンター（ACSC）、オーストラリア連邦警察（AFP）、カナダサイバーセキュリティセンター（CCCS）、および英国国家サイバーセキュリティセンター（NCSC-UK）（以下、作成機関）は、商業施設セクター、サブセクター、およびその他のセクターに対する Scattered Spider 脅威アクターの最近の活動に対応し、この共同サイバーセキュリティアドバイザリを発表します。このアドバイザリでは、2025 年 6 月までに FBI の調査によって得られた戦術、手法、手順 (TTP) について紹介しています。
Note: Originally published Nov. 16, 2023, this advisory has been updated through several iterations:	注：2023 年 11 月 16 日に最初に公開されたこのアドバイザリは、何度か更新されています。
Nov. 16, 2023: Initial version.	2023 年 11 月 16 日：初期バージョン。
Nov. 21, 2023: Updated password recommendation language on page 12.	2023 年 11 月 21 日：12 ページ目のパスワードに関する推奨事項の文言を更新。
July 29, 2025: U.S. and international federal organizations identified new TTPs associated with the Scattered Spider cybercriminal group. In addition to new TTPs that include more sophisticated social engineering techniques, the advisory describes additional malware and ransomware variants used to exfiltrate data and encrypt targeted organizations’ systems.	2025 年 7 月 29 日：米国および国際的な連邦機関は、Scattered Spider サイバー犯罪グループに関連する新たな TTP を特定しました。より洗練されたソーシャルエンジニアリング手法を含む新たな TTP に加え、このアドバイザリでは、データを盗み出し、標的となった組織のシステムを暗号化するために使用される追加のマルウェアおよびランサムウェアの亜種についても説明しています。
Scattered Spider is a cybercriminal group that targets large companies and their contracted information technology (IT) help desks.	Scattered Spider は、大企業およびその契約情報技術 (IT) ヘルプデスクを標的とするサイバー犯罪グループです。
Update July 29, 2025:	2025年7月29日更新
Per trusted third parties, Scattered Spider threat actors typically engage in data theft for extortion and also use several ransomware variants, most recently deploying DragonForce ransomware alongside their usual TTPs. While some TTPs remain consistent, Scattered Spider threat actors often change TTPs to remain undetected.	信頼できるサードパーティによると、Scattered Spider の脅威アクターは通常、恐喝を目的としたデータ盗難に関与しており、複数のランサムウェアの亜種も使用しています。最近では、通常の TTP と併せて DragonForce ランサムウェアを展開しています。一部の TTP は一貫していますが、Scattered Spider の脅威アクターは、検出されないように TTP を頻繁に変更しています。
Update End	更新終了
The authoring organizations encourage critical infrastructure organizations and commercial facilities to implement the recommendations in the Mitigations section of this advisory to reduce the likelihood and impact of Scattered Spider malicious activity.	作成機関は、重要インフラ組織および商業施設に対し、Scattered Spider の悪意のある活動の可能性と影響を軽減するため、本アドバイザリ「緩和策」に記載されている推奨事項を実施することを推奨します。

 

最新版

・2025.07.29 [PDF]

 

オリジナル

・2023.11.16 [PDF]

 

FS-ISAC他、ISACsからも警告がでていますね...

● FS-ISAC

・Cross-Sector Mitigations: Scattered Spider Guidance for Proactive Defense