英国小売業を震撼させたランサムウェア連合：DragonForceとScattered Spider

2025年後半から2026年にかけて、英国の大手小売チェーンが連続して重大なサイバー攻撃を受けました。 被害を受けたのは Marks & Spencer（M&S）、Co-op、老舗百貨店 Harrods。いずれも一般消費者に馴染みの深いブランドであり、攻撃の影響は店頭レジのダウン、オンライン注文停止、従業員データ流出など、日常業務に直結しました。

背後にいたのは DragonForce というランサムウェアグループと、その「提携組織」として機能した Scattered Spider というソーシャルエンジニアリングの達人集団です。

Scattered Spider とは何者か？

Scattered Spider（別名：UNC3944、Muddled Libra）は、英語圏のティーンエイジャー・20代前半の若者を中心としたサイバー犯罪グループです。技術的に高度なマルウェアを使うのではなく、人間の心理を操ることを武器にしています。

彼らが得意な「ビッシング攻撃」

ビッシング（Vishing = Voice Phishing）とは、電話を使ったソーシャルエンジニアリングです。

典型的な手口は次のとおりです：

ターゲット企業の IT ヘルプデスクに電話をかける
「新入社員です。自分のノートパソコンをセットアップしているのですが、パスワードのリセットをお願いできますか？」と依頼
担当者が確認手順（従業員番号・生年月日など）を教えてもらえればリセットできると案内
LinkedInなどで事前収集した情報で確認をパスする
アカウントを乗っ取り、VPN や認証システムへアクセス

この手法で MGM リゾーツ（2023年）、Caesars Entertainment、そして今回の英国小売各社が被害を受けました。MGM では10分の電話一本で侵入を果たし、最終的に 1億ドル超の損害を与えたとされています。

DragonForce とは何者か？

DragonForce はマレーシアを拠点とするとされるランサムウェアグループで、RaaS（Ransomware-as-a-Service）モデルで運営されています。

RaaS とは何か——簡単に言えば「ランサムウェアのフランチャイズ」です：

DragonForce（本部）：ランサムウェアの開発・インフラ・支払いポータルを提供
アフィリエイト（加盟組織）：実際に企業に侵入して感染させる
収益分配：身代金の一部（多くは 20〜30%）が本部に入る仕組み

Scattered Spider は DragonForce の「アフィリエイト」として機能し、ソーシャルエンジニアリングで企業ネットワークへの足がかりを作り、DragonForce のランサムウェアを展開するという分業体制を取っていました。

M&S への攻撃：何が起きたのか

攻撃の概要

M&S への攻撃は 2025年4月下旬から5月にかけて表面化しました。

報告されている影響：

オンラインショッピング（food.marksandspencer.com）が数週間にわたって利用不能
店舗のクリック＆コレクトサービスが停止
非接触型決済の障害
従業員の個人情報（氏名・メールアドレス・電話番号・住所）が流出

M&S は身代金の支払いを拒否したとされており、DragonForce はデータを公開すると脅しています。

なぜ M&S が狙われたのか

Scattered Spider は M&S の IT ヘルプデスクに複数回コンタクトし、正規従業員になりすまして認証情報をリセットさせたと分析されています。その後 VPN 経由で内部ネットワークに侵入し、Active Directory（社内ユーザー管理システム）への権限を取得。そこから横断侵入（ラテラルムーブメント）を繰り返し、バックアップを含む重要インフラに到達しました。

「犯罪カルテル化」が意味するもの

セキュリティ研究者たちがこの事件で特に注目したのが、Scattered Spider と DragonForce の連携構造です。

従来のサイバー犯罪グループは「一枚岩」の組織が多く、侵入から暗号化まで同一チームが担当していました。しかし今回のモデルは異なります：

[ ソーシャルエンジニアリング専門チーム ]
  ＝ Scattered Spider（侵入担当）
         ↓
[ ランサムウェア専門グループ ]
  ＝ DragonForce（暗号化・恐喝担当）

この分業体制により：

参入障壁が低下：技術力がなくても「口の達者さ」だけで犯罪組織に参加できる
検知が困難：初期侵入が「正規ログイン」に見えるため、EDR（エンドポイント検知）がアラートを出しにくい
スケールアップが容易：DragonForce は複数のアフィリエイトを同時に運営できる

専門家はこれを「犯罪のカルテル化（Cartelization of Cybercrime）」と呼び、今後さらに拡大する懸念を示しています。

なぜヘルプデスクが狙われるのか

ここで一つの問いが生まれます——「なぜ高度な技術ではなく、電話一本で大企業に侵入できるのか？」

その答えは、多くの組織の IT ヘルプデスクが「利便性」と「セキュリティ」のトレードオフに負けているからです。

ヘルプデスク担当者は「ユーザーを助ける」ことを使命としている
手順が厳しすぎると「仕事が回らない」という現場の圧力がある
確認手順（生年月日・従業員番号）がソーシャルメディアで収集できる情報と重複している

組織が取るべき対策

ヘルプデスクの本人確認強化

バンドル認証：電話の際、システムから当人に自動 SMS/プッシュ通知を送り「あなたは今ヘルプデスクに電話していますか？」と確認させる
マネージャー承認ワークフロー：高権限アカウントのリセットは直属上長の承認を必須化
内部限定情報の確認質問：公開情報では答えられない質問（社内システム固有の設定値など）を確認に使う

ゼロトラストアーキテクチャの採用

「社内ネットワークにいるから安全」という前提を捨て、すべてのアクセスを継続的に検証するゼロトラストモデルへ移行することが重要です。

具体的には：

VPN から ZTNA（Zero Trust Network Access）への移行
MFA の全ユーザー・全システムへの徹底
最小権限原則（Least Privilege）による権限設計

バックアップの保護

ランサムウェア対策の最終防衛線はオフライン・エアギャップバックアップです。DragonForce を含む多くのランサムウェアは、バックアップも積極的に狙います。

3-2-1 バックアップ原則（3コピー、2種類のメディア、1つはオフサイト）
バックアップへの書き込みは一方向のみ（バックアップシステムからは変更不可に設定）
定期的なリストアテストの実施

若い攻撃者という衝撃

Scattered Spider のメンバーは10代〜20代前半の英語圏の若者が中心とされており、2023年〜2024年にかけて米国・英国で複数のメンバーが逮捕されています。中には17〜19歳の少年も含まれていました。

これは「サイバー犯罪は遠い国のプロ集団の仕業」というイメージを覆すものです。高度な技術がなくても、ソーシャルエンジニアリングのスキルさえあれば世界的企業を攻撃できるという現実は、私たちのセキュリティ意識の根本を問い直させます。

まとめ

DragonForce と Scattered Spider の連携が示したのは、技術的な防御だけでは不十分という厳しい現実です。

いくら高性能なファイアウォールや EDR を導入しても、電話口で「従業員のふり」をした攻撃者が正規の認証を通過すれば意味がありません。人を騙す攻撃に対抗するには、人を鍛えるしかないのです。

ヘルプデスク担当者のトレーニング、本人確認手順の見直し、ゼロトラストの実装——これらを組み合わせた多層防御こそが、カルテル化するサイバー犯罪に対抗する唯一の道です。

参考情報 本記事は BBC News、BleepingComputer、Microsoft MSTIC および Mandiant の公開分析レポートをもとに執筆しています。身代金の支払い方法や具体的な侵入手順の詳細は意図的に省略しています。