テレグラムにGoogleのCEO宛て「脅迫文」を投稿したとされるScattered Lapsus$ Huntersが活動休止を発表したということです。何が起きたのでしょうか? このグループの実態は今ひとつよくわからないのですが、巷でニュースとして取り上げられたGmailをめぐる「騒動」にもひと役買っているようです。
トレンドマイクロとGoogle「攻防」の背景
Scattered Lapsus$ HuntersはScattered Spider、Lapsus$、ShinyHuntersなどいくつものグループの連合体として見られているようですが、これら複数のグループにまたがって活動しているメンバーもいるようです。今年8月にShinyHuntersのテレグラムにScattered SpiderやLapsus$と協力して企業を標的にしているとの投稿があったことから、これらグループが連携していることが明らかになったようです。Lapsus$は10代のイギリスの少年が首謀者とも言われますが、ブラジルのグループとの関係も指摘されています。これらグループはテレグラムなどを介して交流しているティーンエージャーの脅威グループとの見方もされているようですが実態はよくわかりません。
ところで今年8月26日にトレンドマイクロがGoogleのデータベースがサイバー攻撃を受け25億人以上のGmailユーザーが危険にさらされる可能性があるとのブログ記事を公開し、これは日本でもヤフーニュースなどのネットニュースや一般紙などでも取り上げられて大きなニュースになったということです。反響の大きさからGoogleが9月1日にGmailの重大なセキュリティ警告に関する主張は誤りだとする記事を公開、これを受けてトレンドマイクロは9月3日に当初のブログ記事を修正したことから事態は沈静化したようですが、そもそもこの問題の背景にはScattered Lapsus$ Huntersがあるようです。Googleは6月5日付けのブログ記事でSalesforceのCRMツールを狙った攻撃について明らかにし、攻撃者がボイスフィッシングで従業員を騙しSalesforce内のデータにアクセスした手口について詳しく解説しましたが、この攻撃についてはShinyHuntersが攻撃を主張しており、ShinyHuntersはScattered Lapsus$ Huntersを構成している脅威です。
Salesforceを利用している企業への侵害が明らかになる中、Googleは8月5日に6月5日付ブログ記事をアップデートし、Google自身の企業向けSalesforceインスタンスの1つも侵害を受けていたことを明らかにしました。ただし、Googleの説明によれば影響を受けたインスタンスは中小企業の連絡先情報と関連メモを保存するために使用されていたもので、これらデータはアクセスを遮断する前のわずかな時間に脅威アクターに窃取されたものの、窃取されたデータの大部分はすでに公開されているビジネス情報だということでした。
一方、トレンドマイクロは8月26日付のブログでGoogleのデータベースがサイバー攻撃を受け25億人以上のGmailユーザーが危険にさらされる可能性があるとの記事を公開しました。この記事はGoogleがトレンドマイクロの記事を否定するブログ記事を公開したことから9月3日に修正されたようです。しかし、現在、公開されている修正記事においても「詐欺師はGoogle社員を騙してSalesforceに接続された悪意のあるアプリケーションを承認させた」とし「Googleデータ侵害により、25億人のGmailユーザーが新たな詐欺リスクにさらされる」とのタイトルを継続しています。これはGoogleが侵害を受けたことを明らかにした8月5日更新の6月5日付ブログ記事の内容を受けたものとみられますが、Googleが窃取されたデータは公開されているビジネス情報で実質的な被害はないとしているのに対し、トレンドマイクロのブログ記事はGmailのフォーラムでフィッシングメール、なりすまし電話、詐欺テキストメッセージの急増が報告されており盗まれたデータはすでに悪用されているなどとしていて、侵害の影響ついての評価が大きく異なっています。
Scattered Spiderのメンバーか イギリスの19歳が逮捕、起訴される
話は若干それますが。トレンドマイクロは今年7月7日に「重大なSAPの脆弱性が企業を危険にさらす」とのブログ記事を公開しています。これは今年4月に公開され既知の悪用された脆弱性カタログKEVに登録されたSAP NetWeaver Visual Composerの未認証ファイルのアップロードの脆弱性CVE-2025-31324を解説した記事で、ブログ記事はこの脆弱性が悪用されると企業の業務に深刻な影響が起きると警告しています。8月31日にイギリスの高級車メーカー、ジャガーランドローバー・オートモーティブPLC(JLR)がサイバー攻撃を受けてシステムがシャットダウンする事態になりましたが、この攻撃はScattered Spiderを名乗るハッカーがSAP NetWeaverの脆弱性を悪用してJLRのシステムを停止させたと主張しています。Scattered SpiderもShinyHuntersと同じくScattered Lapsus$ Huntersを構成する脅威とみられています。つまり、Scattered Lapsus$ HuntersはSalesforce侵害を足掛かりに様々な企業を攻撃し、その中にはGoogleも含まれていました。さらにCVE-2025-31324を悪用した攻撃をしており、この攻撃を受けると企業の業務に重大な支障が起きるとトレンドマイクロは警鐘を鳴らしていました。
9月に入ってScattered Lapsus$ HuntersがGoogleのCEOにGoogleセキュリティチームのメンバーの解雇やShinyHuntersへの調査の中止を求め、拒否するならGoogleの内部データを漏洩すると脅迫文とも言えるメッセージをテレグラムに投稿したことが報じられました。実はこれはこのグループの常套手段ともいえる手口のようで、SalesforceのCEO宛ての脅迫メッセージも公開しているようです。そのScattered Lapsus$ Huntersがテレグラムで活動休止を宣言したとのニュースが最近報じられました。Scattered Lapsus$ Huntersにとどまらず、その脅威を構成する各グループも活動を休止すると宣言しているようです。どういうことなのでしょうか?
米司法省は9月18日、イギリス国籍でロンドン在住の19歳のタルハ・ジュペイル容疑者を47のアメリカの法人に対する120件のコンピューターネットワーク侵入および恐喝行為に関与したとしてコンピュータ詐欺、マネーロンダリング共謀の罪などでニュージャージー州連邦地裁に起訴したことを発表しました。ソーシャルエンジニアリングの手法を用いて米国企業のネットワークに不正アクセスし、情報を窃取・暗号化した上で被害者に身代金の支払いを要求したということです。
米司法省によるとジュペイル容疑者はScattered Spiderが実行した大規模なサイバー恐喝計画に関与した疑いがあるということです。この計画は世界中で少なくとも120件の攻撃を行い、被害者から1億1500万ドル以上の身代金を要求したということです。ジュペイル容疑者は9月16日にもう1人の人物とともにイギリス当局に逮捕されたようです。イギリス当局はイギリスの重要インフラを標的としたコンピュータ侵入に関する事件を捜査していたということです。
Scattered Lapsus$ Huntersの突然の活動休止宣言はメンバーの逮捕を受けたものなのかもしれません。Lapsus$の首謀者と見られる少年がイギリス当局に逮捕されたことが2022年に報じられましたが、その後の経緯は詳らかではありません。今回、逮捕・起訴された19歳はScattered Spiderとの関連が疑われているということですが、いずれにしても10代の少年グループが連携して世界の企業を相手にサイバー恐喝を繰り返していたのであれば驚くべきことです
【出典】
https://www.bankinfosecurity.com/scattered-lapsus-hunters-announces-closure-a-29439
https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion?hl=en
https://blog.google/products/workspace/gmail-security-protections/
https://news.trendmicro.com/2025/08/26/google-data-breach-gmail/
https://www.trendmicro.com/ja_jp/research/25/g/sap-vulnerability-fix.html