イギリスを代表する大手小売り業者のマーク&スペンサー(M&S)で2025年4月に起きたサイバー攻撃では、Scattered Spiderが初期アクセスブローカーの役割を果たし、ランサムウェアとしてDragonForceが使われたということです。
非接触型決済が不能、利益は前期比55.4%減
M&Sでは2025年4月21日ころからスマホやICカードを決済端末にかざして支払いをする非接触型決済ができなくなり、オンラインストアで商品を注文して実店舗等で受け取るクリック&コレクトの顧客が商品を受け取れないなどの事態も発生。このためM&Sは7週間にわたりアプリやウェブサイトからの注文を停止せざるえない状況に追い込まれ、2025年上半期の利益が前年同期比55.4%減少するなど経営に大きな影響が出ました。
イギリスではM&Sが攻撃された同時期に老舗百貨店のハロッズ、Co-opといずれも大手小売業者がサイバー攻撃を受け、これら一連の攻撃を捜査していたNCA(英国家犯罪対策庁)は2025年7月10日にウェスト・ミッドランズとロンドンで19歳の男性2人、17歳の男性1人、20歳の女性1人をコンピューターの不正使用、恐喝、マネーロンダリング、組織犯罪グループの活動への参加の疑いでそれぞれの自宅で逮捕し電子機器を押収したと発表しました。
サイバーセキュリティの研究者らによれば、M&Sへの侵入はScattered Spiderによって行われ、攻撃ではDragonForceランサムウェアが使われたということです。Scattered Spiderは少なくとも2022年から活動が認められ、英語を話す10代から20代の若者で構成されており、アンダーグラウンドのコミュニティ「The Com」とつながりがあるとされているグループです。企業のITヘルプデスクの担当者になりすまして従業員の認証情報を聞き出すなどソーシャルエンジニアリングによる手口にたけており、M&Sの攻撃でも侵入は正規のログイン情報が悪用されたようです。すでにお伝えしていますが、Scattered Spiderは2025年8月にLapsus$、ShinyHuntersとともに戦術とブランディングを組み合わせたScattered Lapsus$Huntersを名乗る連合体を形成しているグループです。
どう進む? 脅威の「合従連衡」
M&Sへの攻撃ではScattered Spiderのソーシャルエンジニアリングによる手法で侵害が開始されたようですが、サイバーセキュリティの研究者らが注目しているのはランサムウェアとしてDragonForceが使われたとみられることです。M&Sはランサムウェアがあったことを否定しているようですが、サイバーセキュリティ界隈ではDragonForceランサムウェアが使われたことは既成事実として認識されており、Scattered SpiderとDragonForceの関係を示す一端としてM&Sへのサイバー攻撃が注目されています。
DragonForceの脅威グループは先日の記事でお伝えしたように、従来のRaaSというサイバー犯罪ビジネスからカルテルという脅威グループ間の連携型の結びつきを模索している実態があり、一方、Scattered SpiderはLapsus$、ShinyHuntersとともにカルテル的な連合体を形成してサイバービジネス恐喝と言えるEaaSを行っているグループです。Scattered SpiderとDragonForceが結びついた攻撃としてM&Sへの攻撃が注目されているわけですが、その詳細は明らかではありません。アンダーグラウンドで起きているサイバー脅威の変化、合従連衡は2026年にとのような形として出現するのでしょうか? サイバー脅威の実態は非常に混沌としている印象があります。
【出典】
https://www.acronis.com/ja/blog/posts/mark-and-spencer-cyber-attack/
https://www.culture.ai/resources/blog/scattered-spider-and-dragonforce