新たな脅威「Scattered Lapsus$ Hunters」の出現
「Scattered Lapsus$ Hunters」(SLSH)と名乗る新たなサイバー犯罪集団が、Salesforceの顧客テナントを標的とした大規模なデータ侵害の責任を主張し、世界中の組織にとって重大な脅威として浮上しています。この集団は、別名「SP1D3R HUNTERS」とも呼ばれ、2つの異なる恐喝キャンペーンを通じて、10億件を超えるSalesforceの記録を盗んだと報じられています。これは、近年のデータ窃盗事件の中でも最大規模の一つとなります。
「混沌の三位一体」を形成する脅威アクター
業界の専門家は、この犯罪シンジケートを「混沌の三位一体」と呼んでいます。これは、悪名高い3つの脅威グループ、すなわちMuddled Libra(Scattered Spider)、Bling Libra(ShinyHunters)、およびLAPSUS$のメンバーで構成されていることを反映しています。これらのグループは、より広範なサイバー犯罪コミュニティ「The Com」の一部であると考えられており、協調的な恐喝キャンペーンを展開する高度な脅威アクターのネットワークを形成しています。
Bling Libraによる恐喝戦略の進化
これらの恐喝行為の主要な実行者はBling Libraであり、少なくとも2020年初頭から活動しており、近年数々の注目すべきデータ侵害の責任を主張してきました。彼らの活動は、従来のデータ販売から被害者への直接的な恐喝へと進化しており、サイバー犯罪の収益化戦略における大きな変化を示しています。Unit 42の調査によると、2025年を通じて世界の小売業およびホスピタリティ組織がこのデータ窃盗恐喝活動の主要な標的となっています。脅威アクターは、機密性の高い顧客情報や企業データを盗むために、Salesforceの顧客環境への侵入に特に注力しています。
Extortion-as-a-Service(EaaS)モデルの展開
2025年10月3日、Scattered Lapsus$ Huntersは、以前悪名高いBreachForumsサイバー犯罪フォーラムに関連付けられていたドメインで、データ漏洩サイト(DLS)を正式に開設しました。このサイトには、グループがSalesforceデータを盗んだと主張する39のグローバル組織のリストが掲載され、最初の身代金支払いの期限は2025年10月10日に設定されました。
脅威アクターは、Extortion-as-a-Service(EaaS)モデルを採用しており、協力する脅威アクターへの恐喝支払いから通常25〜30%の収益シェアを得ています。このアプローチは、成功したRansomware-as-a-Service(RaaS)モデルを模倣していますが、ファイルを暗号化するマルウェアを展開することなく、データ窃盗と恐喝に焦点を当てている点で大きく異なります。Bling Libraは、Telegramチャンネルを通じて他の脅威アクターを積極的に募集し、特に経営幹部レベルのコミュニケーションを標的として、被害者に電子メールで恐喝通知を送るのを支援しています。グループはSalesforce自体を直接恐喝しようとさえしましたが、同社は交渉や身代金支払いを公に拒否しています。
法執行機関の対応と脅威の継続
事態は、FBIが2025年10月9日にBreachForumsに関連するすべてのドメイン、および脅威アクターの新たに開設されたDLSのクリアネット版を押収したことで激化しました。しかし、Bling Libraは、主要メンバーが逮捕されていないこと、およびダークネット版のサイトが引き続き稼働していることを確認しました。FBIの行動に対し、グループは脅威をさらに強め、データ公開の可能性を警告し、2025年10月10日の期限に関する不吉なメッセージを投稿しました。法執行機関の介入にもかかわらず、脅威アクターは恐喝活動を維持する上で回復力と適応性を示しています。
追加の脅威グループの出現により、脅威の状況はさらに複雑化しています。以前は知られていなかったCrimson CollectiveというグループがScattered Lapsus$ Huntersと協力し始め、2025年10月1日にRed Hatを侵害した責任を主張しました。このグループは、約28,000の内部開発リポジトリから約570GBの圧縮データを流出させたとされており、これには機密性の高い顧客エンゲージメントレポートが含まれていました。
企業への影響と推奨される対策
Salesforce環境の標的化は、顧客関係管理プラットフォームに大きく依存する小売業およびホスピタリティ組織にとって特にリスクをもたらします。小売業者にとって、顧客データの盗難は、個人情報の盗難、ソーシャルエンジニアリング攻撃、アカウント乗っ取り、および様々な形態の詐欺につながる可能性があります。最も重要なことは、これらの侵害が、特にショッピングのピークシーズンなどの重要な時期に、消費者の信頼を損なう可能性があることです。
ホスピタリティ組織も同様のリスクに直面しますが、詐欺のパターンは異なります。小売組織が主に返品やギフトカード詐欺に遭遇するのに対し、ホスピタリティ企業は航空会社のマイレージやホテルのポイントに関わるロイヤルティ報酬詐欺に遭遇する可能性が高くなります。これは、ダークウェブフォーラムやTelegramチャンネルでの不正な旅行代理店広告の地下トレンドの増加に貢献しています。
EaaSモデルへの移行は、サイバー犯罪戦術における懸念すべき進化を表しています。ファイルを暗号化して運用を妨害する従来のランサムウェア操作とは異なり、EaaSはデータ窃盗と恐喝のみに焦点を当てており、ランサムウェアの妨害に伝統的に焦点を当ててきた法執行機関の取り組みのレーダーの下で脅威アクターが活動することを可能にする可能性があります。
組織は、これらの進化する脅威を軽減するために、以下の包括的なセキュリティ対策を実装する必要があります。
- 自動化された認証情報スキャンツール
- ゼロトラストアーキテクチャの原則
- 条件付きアクセスポリシー
情報共有分析センター(ISAC)への業界参加は、リアルタイムの脅威インテリジェンスと、受動的および能動的な防御策の両方に関するベストプラクティスへのアクセスを提供します。Scattered Lapsus$ Huntersの事例は、現代のサイバー犯罪活動の高度化と連携の増加を示しており、機密性の高い顧客データを扱うすべてのセクターにおいて、堅牢なセキュリティフレームワークとインシデント対応能力が極めて重要であることを浮き彫りにしています。