ニュースに戻る
リサーチ

SLSHの脅迫戦術激化:身代金支払いがサイバー恐喝の連鎖を加速させる理由

1分で読めますソース: Krebs on Security
Cybercriminal in hoodie using laptop with ransomware extortion messages and Telegram logos on screen

Scattered Lapsus Shiny Hunters(SLSH)の新たな脅迫手法と身代金支払いのリスクを解説。データ流出、スワッティング、メディア操作など、従来のランサムウェアとは一線を画す攻撃の実態とは。

SLSHが採用する心理戦を駆使したランサムウェアの脅迫戦術

Scattered Lapsus Shiny Hunters(SLSH)として知られる悪名高いサイバー恐喝グループは、被害者に身代金の支払いを強要するため、データ窃取、嫌がらせ、スワッティング(偽の通報による警察出動)、メディア操作を組み合わせた攻撃的な手法を採用している。従来のランサムウェアグループとは異なり、SLSHは経営幹部やその家族に対する個人脅迫、DDoS攻撃の調整、規制当局への通報などを駆使し、圧力を強めている。一部の被害者は、流出したデータの封じ込めや攻撃のエスカレーションを阻止するために支払いに応じたと報じられているが、サイバーセキュリティの専門家は、「支払い拒否」の姿勢を貫く以外の対応はさらなる悪用を助長するだけだと警告している。

SLSHの攻撃手法:技術的な内訳

SLSHの戦術は、従来のランサムウェア攻撃とは以下の点で大きく異なる。

  • 初期アクセス: グループは電話ベースのフィッシングを通じて侵入し、ITスタッフを装って従業員をだまし、SSO(シングルサインオン)認証情報やMFA(多要素認証)コードを盗み取る。GoogleのMandiantは、2026年1月のSLSHによる攻撃では、被害者企業のブランドを模倣した認証情報収集サイトが使用されたと報告している。

  • 恐喝のエスカレーション: 被害者が侵害に気づくのは、SLSHがTelegram上で企業名を公表したときであることが多い。その際、以下のような手法が併用される。

    • スワッティング攻撃(偽の爆弾脅迫や人質事件を通報し、武装警察の出動を誘発)。
    • メール/SMS/電話による大量送信でコミュニケーションを麻痺させる。
    • メディアを通じたネガティブPRキャンペーン
    • 規制当局への通報による風評被害の拡大。

  • 心理戦: SLSHは経営幹部の家族を標的にし、取締役会メンバーを脅迫し、ジャーナリストを操作して継続的な危機状態を作り出す。Unit 221Bの研究ディレクター、Allison Nixonは、この戦略がセクストーション(性的脅迫)スキームに類似していると述べており、データ削除の証明なしに支払いを要求する手口だとしている。

従来のランサムウェアグループとの違い

ロシア系のランサムウェアグループ(例:LockBit、ALPHV)とは異なり、SLSHは流動的な英語圏の集団であり、一貫した運用セキュリティを持たない。主な相違点は以下の通り。

  • 信頼できない約束: SLSHは身代金の支払いに応じたデータ削除を守った実績がなく、Nixonは支払いが流出したデータセットの価値を証明するだけであり、後日詐欺に悪用される可能性があると警告している。

  • 内部の混乱: メンバーは、The Comと呼ばれるサイバー犯罪者向けのDiscord/Telegramエコシステム出身で、内部抗争、裏切り、薬物乱用が常態化している。この不安定さが、大規模でプロフェッショナルなランサムウェア運用を妨げている。

  • メディア操作: SLSHは積極的にメディアの注目を集め、研究者(NixonやジャーナリストのBrian Krebs)に対する殺害予告を発することで、話題性を高め、被害者への圧力を強化している。

SLSHとの交渉リスク:影響分析

Unit 221Bの調査によると、SLSHとの交渉には以下の危険性がある。

  • 嫌がらせのエスカレーション: 支払いに応じると、さらなる攻撃を誘発し、従業員やその家族に対する物理的脅迫に発展する可能性がある。

  • 保証の欠如: SLSHはデータ削除の証明ができず、流出したデータセットが詐欺行為に再利用されるリスクがある。

  • 長期的な影響: 支払いに応じた被害者はグループを増長させ、拒否した被害者は時間の経過とともに嫌がらせが収まる傾向にある。

標的となった組織への推奨対応

セキュリティ専門家は、SLSHの標的となった場合の対応として以下を推奨している。

  1. 交渉を避ける「支払い拒否」の姿勢を貫き、SLSHに揺さぶりの材料を与えない。

  2. 侵害の兆候(IoC)を監視

  • 研究者(例:Allison Nixon、Brian Krebs)やセキュリティ企業(例:Unit 221B)に対する悪意ある言及に注意。
  • SLSHのTelegramチャンネルを監視し、脅迫やデータ流出の兆候を把握。
  1. インシデント対応
  • 影響を受けたシステムを隔離し、侵害された認証情報を無効化。
  • スワッティングや物理的脅迫については**法執行機関(FBI、CISAなど)**に通報。
  • メディア対応のため、事前に承認された声明を準備し、風評被害を最小限に抑える。
  1. 法務・PR対策
  • 規制当局への通報に備え、法務チームと連携。
  • 経営幹部やその家族に対して、潜在的な嫌がらせ戦術について事前ブリーフィングを実施。

結論:勝利の唯一の方法は「支払わない」こと

SLSHの不安定で嫌がらせを駆使した恐喝モデルは、ランサムウェア戦術の危険な進化を示している。従来のグループが暗号化と復号鍵に依存していたのに対し、SLSHのアプローチは恐怖、メディア圧力、物理的脅迫を利用した純粋な心理戦だ。Nixonのアドバイスは明確:**「支払いを拒否することが、グループの影響力を無力化し、データと個人の安全を守る最も効果的な方法」**である。

詳細については、Mandiantの2026年1月レポートを参照。

共有

TwitterLinkedIn