「Scripted Sparrow」:自動化されたBEC攻撃集団の脅威
3大陸にまたがるメンバーを持つ悪名高いビジネスメール詐欺(BEC)集団「Scripted Sparrow」が、その大規模な詐欺活動の背後にある洗練された自動化インフラにより、サイバーセキュリティ研究者の間で大きな懸念を引き起こしています。
Fortraのインテリジェンス・リサーチ専門家(FIRE)による最近の分析では、同グループの驚くべき運用規模(月間約300万件のターゲットメッセージ)は、メッセージの生成と配信の両方における堅牢な自動化システムによってのみ達成可能であることが明らかになりました。
同グループの手口は、エグゼクティブコーチングやリーダーシップトレーニングのコンサルタントになりすますことにあります。攻撃メッセージは、被害組織の経理チームのメンバーを標的とし、架空のコンサルタントと企業幹部の間の偽装された返信チェーン、および2つのPDF添付ファイル(5万ドル弱の請求を行う不正な請求書と、記入済みのW-9フォーム)を含むのが典型的です。
高度化する自動化戦略
Scripted Sparrowを従来のBEC攻撃者と区別しているのは、自動化されたプロセスを通じてこれらのキャンペーンを拡大する体系的なアプローチです。
Scripted Sparrowの自動化戦略は、2024年6月に初めて活動が観測されて以来、著しく進化しました。初期のキャンペーンでは、「お客様各位」のような一般的な表現が使われていましたが、現在は個別の幹部名を記載するようになっています。
同グループは、自動化システムを段階的に改良し、より説得力のあるメッセージと、自然で状況に即した複雑な複数メッセージの偽装された返信チェーンを生成するようになりました。
特に洗練された展開が最近の戦術で明らかになりました。同グループは、最初のメッセージから約束されたPDF添付ファイルを意図的に省略するようになりました。この計算されたアプローチにより、潜在的な被害者は不足しているドキュメントを要求するために返信せざるを得なくなり、これにより、運用中のメールアカウントを晒す前に、疑いやすいターゲットを効果的に選別しています。この2段階プロセスは、メッセージの純粋な量よりも被害者の選別を優先する、洗練された自動化ロジックを示しています。
驚異的な運用規模とインフラ
Scripted Sparrowの活動範囲は、自動化インフラへの依存を明確に示しています。Fortraの研究者は、その不審なメール分析サービスを通じて496件のユニークなエンゲージメントを特定しました。
しかし、単一の登録ドメイン(kornferry.ws)が23の組織の70人のユーザーを標的として活動を生成したことから、研究者は、捕捉されたメッセージ1件につき、Scripted Sparrowが約7万件のメッセージを送信していると控えめに推定しています。
2025年9月の活動のピーク時には94件のエンゲージメントが確認され、これはおよそ660万件のターゲットメッセージに相当すると推定されます。
この運用ペースを維持するため、Scripted Sparrowは、無料のウェブメールアドレス、新規登録ドメイン、および侵害された正規の組織メールボックスを組み合わせた多様なインフラを活用しています。研究者たちは、同グループが将来的に生成AI技術を組み込み、メッセージのパーソナライズと信憑性をさらに高め、自動化された攻撃をターゲットの受信者にとってより説得力のあるものにする可能性が高いと予測しています。
国際的な活動と運用セキュリティ
積極的な防御エンゲージメントにより、Scripted Sparrowのメンバーはナイジェリア、南アフリカ、トルコ、カナダ、米国を拠点に活動していることが明らかになりました。
同グループはドメインの調達において、NameSiloとDynadotのレジストラを圧倒的に好んでいます。
734件のPDF添付ファイルの分析では、約76%がSkiaを使用して生成されており、これは標準化された自動PDF生成ツールの使用を示唆しています。
注目すべきは、同集団がVPNの使用、ブラウザプラグインによる位置情報偽装、リモートデスクトッププロトコル(RDP)の実装など、複数の運用セキュリティ対策を講じていることです。内部グループコミュニケーションにTelegramが使用されている証拠は、組織的な連携システムを示唆しています。
スウェーデン語での最初の非英語メッセージで9,905ユーロを要求したことが示すように、Scripted Sparrowは国際的に拡大を続けており、活動を減速させる兆候は見られません。
組織への推奨事項
組織は、厳格な支払い承認プロトコルを実装し、すべての費用を公式のコミュニケーションチャネルを通じて検証する必要があります。メールの返信チェーンは、その洗練度のレベルに関わらず、簡単に偽装される可能性があるため、これに依存すべきではありません。