セキュリティジャーナリストのブライアン・クレブス氏が、近年急速に台頭しているサイバー犯罪集団「Scattered Lapsus ShinyHunters(SLSH)」の恐喝手口について詳細に報じた。この集団は従来のランサムウェアグループとは一線を画し、企業幹部やその家族への脅迫、スワッティング(虚偽通報による武装警察の出動)、DDoS攻撃などの物理的・心理的嫌がらせを駆使して身代金を要求するという、極めて悪質な手法を用いている。
この記事のポイント
- SLSHはScattered Spider、LAPSUS$、ShinyHuntersの3つの犯罪グループが合流した「スーパーグループ」であり、従来のロシア系ランサムウェア集団とは根本的に異なる
- 2026年1月にはIT部門を装った電話で従業員を騙し、SSO認証情報とMFAコードを窃取する攻撃キャンペーンを展開
- セキュリティ専門家は「絶対に身代金を支払うべきではない」と強く推奨しており、支払っても約束が守られる保証はない
SLSHとは何者か
SLSHは、サイバー犯罪の世界で悪名高い3つのグループの合流によって生まれた脅威アクターである。Scattered Spiderからは初期アクセスとヘルプデスク・ソーシャルエンジニアリングの技術を、LAPSUS$からは内部者の勧誘やソースコード窃取のノウハウを、ShinyHuntersからは大規模データ収集と恐喝の手法を受け継いでいる。
この集団のメンバーは「The Com」と呼ばれるDiscordやTelegramのサイバー犯罪コミュニティの出身者で構成されている。セキュリティコンサルタント企業Unit 221Bのリサーチディレクター、アリソン・ニクソン氏によると、Comベースの恐喝グループはメンバー間の確執やドラマが絶えず、嘘、裏切り、背信が日常的に発生するという。薬物乱用などの問題も重なり、戦略的な身代金交渉を完遂する能力に欠けていることが多い。
恐怖を武器にする恐喝手口
SLSHの手口は、従来のランサムウェア攻撃とは大きく異なる。データを暗号化して復号鍵と引き換えに身代金を要求するのではなく、まず大量の企業データを窃取し、そのデータの公開をちらつかせて金銭を要求する。しかし、彼らの本当の恐ろしさは身代金通知と同時に展開される「嫌がらせの嵐」にある。
具体的な嫌がらせ手法には以下が含まれる:
- スワッティング(Swatting):虚偽の爆破予告により、企業幹部の自宅や職場に武装警察を出動させる
- DDoS攻撃:被害企業のインフラに大規模な分散型サービス妨害攻撃を仕掛ける
- メール・SMS・電話の大量送信:被害者を精神的に追い詰めるフラッディング攻撃
- ネガティブPR工作:ジャーナリストや規制当局に情報漏洩の事実を通知し、企業の評判を意図的に毀損する
- 殺害予告:連邦職員のリストを公開し殺害を予告するなど、テロリズムのレベルに達する脅迫
- ドクシング(Doxing):個人情報をDoxbinなどに公開する
これらの攻撃は身代金要求と同時に実行され、交渉中も新たな嫌がらせが矢継ぎ早に繰り出される。「被害=企業の支払い動機」と考えるSLSHは、テロリズムのレベルまでその被害をエスカレートさせることを厭わない。
2026年1月の最新攻撃キャンペーン
Googleのセキュリティフォレンジック企業Mandiantが2026年1月30日のブログ記事で報告したところによると、SLSHは2026年1月初旬から中旬にかけて新たな攻撃キャンペーンを展開した。攻撃者はIT部門のスタッフを装い、標的企業の従業員に電話をかけて「会社がMFA(多要素認証)設定を更新している」と偽った。
その後、従業員を企業ブランドに偽装した認証情報窃取サイトに誘導し、SSO(シングルサインオン)認証情報とMFAコードを入手。さらに自身のデバイスをMFAに登録することで、持続的なアクセスを確保した。この手法はビッシング(音声フィッシング)と呼ばれ、SLSHの得意とする攻撃ベクターの一つである。
なぜ身代金を支払ってはならないのか
Unit 221Bのアリソン・ニクソン氏は、SLSHが従来のロシア系ランサムウェアグループと根本的に異なる点を強調している。ロシア系グループは「支払えばデータを削除する」という約束を概ね守ることで「ビジネス上の信頼」を構築してきた。しかしSLSHにはそのような行動の一貫性がなく、被害者が信頼を置ける根拠がまったくない。
SLSHが交渉するのは「身代金を支払えばデータを漏洩しない」という約束だが、専門家はデータを削除する意図がないと確信している。さらに、支払いは窃取されたデータセットの価値に関する重要な情報を犯罪者に与えることになり、後の詐欺活動に利用される可能性がある。
Unit 221Bのアドバイザリーは、この集団の手口が児童セクストーション(性的恐喝)のパターンに類似していると指摘している。一度支払えば終わりではなく、繰り返し恐喝されるサイクルに陥るリスクがある。「支払いの有無にかかわらず嫌がらせはいずれ終わる」というのが専門家の見解であり、身代金の支払いは経済合理性を欠く。
知っておくと便利なTips
- 身代金要求を受けた場合は「支払わない」と即座に意思表示し、それ以上の対話を避ける。対話を続けること自体が嫌がらせをエスカレートさせるインセンティブになる
- インシデント発生時は直ちに法的助言、インシデントレスポンスチーム、法執行機関、PR担当者など外部専門家を関与させる
- IT部門からのMFA更新依頼の電話には応じず、必ず正規のIT部門に折り返し確認する
- 組織内でスワッティングやフィッシング攻撃への対応訓練を実施し、従業員の意識を高める
まとめ
SLSHは従来のサイバー犯罪集団とは異質な存在であり、物理的な暴力の威嚇を含むあらゆる手段で被害者を追い詰める。しかし、セキュリティ専門家の見解は明確だ。「絶対に支払うな」。この集団は約束を守る意図も能力も持ち合わせておらず、支払いは被害を終わらせるどころか、さらなる恐喝のサイクルを生むだけである。組織が取るべき最善の対策は、堅牢な認証基盤の構築、従業員教育の徹底、そしてインシデント発生時の迅速な専門家の関与である。サイバー犯罪がますます物理的な脅威と融合する時代において、冷静な対応と毅然とした姿勢がこれまで以上に重要になっている。
📎 元記事: https://krebsonsecurity.com/2026/02/please-dont-feed-the-scattered-lapsus-shiny-hunters/
コメント