サイバー犯罪グループ「Scattered Spider」の主要メンバーとされるスコットランド出身の英国人 Tyler Robert Buchanan(24歳、ダンディー出身)が2026年4月17日、米カリフォルニア州オレンジ郡の連邦地方裁判所において、電信詐欺共謀罪1件および加重個人情報窃盗罪1件について有罪答弁を行いました(米国司法省プレスリリースより)。
Buchananは2025年4月に米国連邦拘留に移管されており、量刑審問は2026年8月21日に予定されています。法定最高刑は禁錮22年です。
【関連記事】
- 社長のなりすましビジネスチャットで3,000万円詐取-ビジネスチャット詐欺やビジネスメール詐欺(BEC)に注意
- 富士フイルムメディカル、営業管理システムへの不正アクセスで約59万人分の個人情報漏洩の恐れ-ハッカーグループのサイバー攻撃が関係か
- 2025年に発生したボイスフィッシング(ビッシング)の事例
何が起きたか
攻撃の時系列と手口
Buchananおよび共謀者らは2021年9月から2023年4月にかけて、米国内の少なくとも12社を対象に大規模なSMSフィッシング攻撃を展開し、仮想通貨を含む少なくとも800万ドル(約12億円)相当の資産を窃取しました。
ボイスフィッシング/フィッシングメッセージで侵入
攻撃の具体的な手法は以下のとおりです。
まず標的企業の従業員に対し、当該企業のITヘルプデスクや委託BPO事業者を騙ったSMSフィッシングメッセージを数百件規模で送信しました。メッセージには企業の正規サイトを模倣した偽フィッシングサイトへのリンクが含まれており、従業員を誘導してPII(個人識別情報)・アカウントIDおよびパスワードを入力させました。
取得した認証情報を使って企業の従業員アカウントおよびコンピューターシステムへの不正アクセスを実行。
機密情報・知的財産・顧客データを窃取しました。さらに、企業侵害で取得した情報を活用して個人被害者の仮想通貨ウォレットおよびアカウントを特定し、SIMスワップ(標的の電話番号を攻撃者管理のデバイスに移管する手法)を実行して二要素認証を迂回。仮想通貨を窃取しました。
証拠物件
2023年4月、Police Scotlandによるバシャン宅(スコットランド)への家宅捜索で、約20台のデバイスが押収されました。デバイスには複数の被害企業に関するファイル、被害者の氏名・住所の記録、仮想通貨ウォレットの「シードフレーズ」(復旧用の秘密鍵)と被害者アカウントのログイン情報を含むテキストファイルが発見されています(Buchananの有罪答弁合意書より)。
逮捕・移送の経緯
Buchananは2023年2月にスコットランドを出国しており、2024年6月にスペイン・パルマ・デ・マヨルカ空港でナポリ行きの便に搭乗しようとしたところを逮捕されました。その後スペイン当局によるスペインからの引き渡し手続きを経て、2025年4月に米国連邦管轄下の拘留に移管されています。
なお、Buchananが2023年2月にスコットランドを離れた背景について、独立系セキュリティジャーナリストのBrian Krebs氏は「ライバルのサイバー犯罪グループの構成員が自宅に押し入り、母親を暴行し、仮想通貨ウォレットの鍵を渡さなければ火炎放射器で焼くと脅したため逃亡した」と2024年6月に報じています。
共謀者の現状
| 氏名 | 年齢 | 出身 | 現状 |
|---|---|---|---|
| Tyler Robert Buchanan | 24 | スコットランド・ダンディー | 2026年4月17日に有罪答弁。2026年8月21日に量刑審問(最高禁錮22年) |
| Noah Michael Urban(Sosa / Elijah) | — | — | 2025年8月に禁錮10年・賠償命令1,300万ドルの判決 |
| Ahmed Hossam Eldin Elbadawy | 24 | テキサス州 | 起訴済み・審理待ち(最高禁錮20年) |
| Evans Onyeaka Osiebo | 21 | テキサス州ダラス | 起訴済み・審理待ち(最高禁錮20年) |
| Joel Martin Evans | 26 | ノースカロライナ州 | 起訴済み・審理待ち(最高禁錮20年) |
Scattered Spiderとは
Scattered Spiderは、0ktapus・UNC3944・Octo Tempest・Muddled Libra・Starfraudなどの別称でも追跡されているサイバー犯罪グループです。主にTelegramチャンネルやDiscordサーバーを通じて連携する、緩やかな連合体として構成されており、16歳程度の若者を含む英語ネイティブのメンバーで構成されています。
母国語が英語であることが、ソーシャルエンジニアリング攻撃の精度を高めており、ITヘルプデスクや従業員へのなりすましが特に高い成功率を誇ります。この点が、ロシア語圏を拠点とする従来型のサイバー犯罪組織とは性質が大きく異なり、法執行機関にとって特有の課題となっています。
同グループが関与したとされる主な攻撃事例にはMGMリゾーツ(2023年)、シーザーズエンターテインメント(2023年)、Transport for London、Twilio、LastPass、DoorDash、MailChimp、Cloudflare、英Marks & Spencer(2025年)、Jaguar Land Rover(2025年)があります。ただし今回有罪答弁が行われた案件は2021年9月〜2023年4月の活動が対象であり、Buchananの直接関与が認定された期間は、MGMやM&Sへの攻撃よりも前の時期です。
関連:ジャガーランドローバー、サイバー攻撃で3Qの売上が約3,100億円減少
FBI夏2022年には、Buchanに紐づくIPアドレスがNameCheap上の通信会社・仮想通貨取引所・テクノロジー企業を模倣した偽ドメインの作成に使用されたドメイン登録アカウントにログインしていたことが確認されており、FBIは同グループが130社以上を侵害した2022年夏のOktaフィッシングキャンペーンとBuchanを関連付けています。
情報システム部門・セキュリティ担当者へのポイント
今回の起訴・有罪答弁が示すScattered Spiderの手口は、日本企業のセキュリティ担当者にとっても直接的な脅威として参照すべき内容を含んでいます。
同グループが一貫して使用するSMSフィッシング・SIMスワップ・MFA迂回・ITヘルプデスクなりすましという攻撃パターンは、英語以外の言語環境でも翻案可能です。特に、正規のBPOやITサプライヤーを装った従業員向けのフィッシングメッセージは、委託先・外部ベンダーとの連絡チャネルが多様化している企業環境において有効な攻撃ベクターとなります。
SMSや電話経由で認証情報・OTPコードの入力を求める連絡は、発信元にかかわらず別経路で本人確認を行う運用ルールの整備、音声/SMS通話を使ったMFAからFIDO2等のフィッシング耐性のある認証方式への移行、そして従業員向けのSMSフィッシング・SIMスワップ攻撃に関する定期的な教育訓練が有効な対策となります。
不審な電話への応答訓練は、座学だけでは定着しにくいのが実情です。攻撃者がAIを活用してソーシャルエンジニアリングのシナリオを量産・高度化する中、自社の教育訓練もAIで自動化・継続化することが現実的な対策となりつつあります。
▶ お役立ち資料:AIによりサイバー攻撃が高度化-最新脅威に対応したセキュリティ教育訓練の自動化(ヤグラ)
参考情報
-
- 【一次ソース・DOJ】United Kingdom Man Pleads Guilty to Hacking Companies and Stealing Millions in Cryptocurrency(米国司法省、2026年4月17日)
- 【報道】British Scattered Spider hacker pleads guilty to crypto theft charges(BleepingComputer、2026年4月20日)
- 【報道】British hacker tied to Scattered Spider campaign pleads guilty in $8M scheme(The Record、2026年4月20日)
- 【報道】US gets second Scattered Spider-linked guilty plea(The Register、2026年4月20日)
関連記事
Salesforce(セールスフォース)へサイバー攻撃-ハッカーによる不正アクセスで情報漏洩か-シスコ/トヨタ/富士フイルム/Googleに影響か
ロシア人2名がロックビット(Lock Bit)攻撃の実行を認める
バイブコーディング ツールのLovable AIで情報漏洩の恐れ
米 アフラック、サイバー攻撃で個人情報漏洩の可能性
ハッカーがRed Hat(レッドハット)へのサイバー攻撃と不正アクセスを主張
カンタス航空とベトナム航空、サイバー攻撃で個人情報漏洩の恐れ-ハッカーによるSalesforce(セールスフォース)への不正アクセスが影響
【2025年】サイバー攻撃の事例
Salesforce(セールスフォース)、ハッカー グループによるサイバー攻撃の身代金要求を拒否
CrowdStrike(クラウドストライク)、内部情報をハッカー グループへ漏洩した社員を解雇
