2023年9月のMGMリゾーツへのサイバー攻撃は、わずか10分のヘルプデスクへの電話で始まった。攻撃者はLinkedInから収集した従業員情報をもとに社員になりすまし、ITヘルプデスクを説得してMFA(多要素認証)をリセットさせた。この攻撃による損害額は推定1億ドル。2025年に入っても同様の手法は進化を続け、英国の大手小売業者Marks & SpencerやCo-opが4月に被害を受け、損害額は2億7,000万〜4億4,000万ポンド(約3億6,300万〜5億9,200万ドル)に達した。世界経済フォーラム(WEF)のGlobal Cybersecurity Outlook 2026は、利便性を優先して設計されたヘルプデスクが攻撃者の主要な侵入経路となっている現状を警告している。本稿では、パスワードリセット詐欺の具体的手法と、多層検証による防御戦略を解説する。

なぜヘルプデスクが狙われるのか

ITヘルプデスクは従来、「従業員を助ける」ことを最優先に設計されてきた。パスワードを忘れた従業員、新しいデバイスを登録したい従業員、アカウントがロックされた従業員。彼らの業務継続を最短時間で支援することが、ヘルプデスクのKPIとされてきた。しかし、この利便性重視の設計思想こそが、攻撃者にとっての脆弱性となっている。

WEF Global Cybersecurity Outlook 2025の調査によれば、アイデンティティ盗難はCISOとCEOの双方が最も懸念する個人的なサイバーリスクとして挙げられている。さらに2026年版では、回答者の73%が2025年中に自身またはネットワーク内の誰かがサイバー詐欺の被害を受けたと報告している。攻撃者は生成AIを活用し、組織の上級リーダーのコミュニケーションスタイルを巧みに模倣するようになった。ソーシャルメディア、公式声明、流出した文書などから収集した文脈データを活用し、ソーシャルエンジニアリングの精度を飛躍的に向上させている。

ヘルプデスク担当者は、電話の向こうにいる人物が本当に従業員なのかを確認する手段が限られている。社員番号、生年月日、上司の名前、社会保障番号の下4桁といった「秘密の質問」は、データ漏洩やソーシャルメディアから容易に収集可能である。声による本人確認も、AIボイスクローニング技術の発達により信頼性が低下している。

Scattered Spiderの攻撃手法

ヘルプデスク攻撃を最も巧みに実行している脅威アクターがScattered Spider(別名UNC3944)である。この集団は英語を母語とするメンバーを擁し、米国や英国の企業に対して高度なソーシャルエンジニアリング攻撃を仕掛けている。

2023年9月のMGMリゾーツ攻撃では、攻撃者はLinkedInで標的となる従業員を特定し、ITヘルプデスクに電話をかけてその従業員になりすました。ヘルプデスク担当者は本人確認のための質問を行ったが、攻撃者は事前に収集した情報で回答をパスした。そして「携帯電話が壊れた」と主張し、新しいMFAデバイスの登録を依頼した。ヘルプデスク担当者がこれに応じた結果、攻撃者は正規のアクセス権限を獲得し、システム内部に侵入した。

2025年4月には、英国の大手小売業者Marks & Spencer、Co-op、Harrodsが同様の手法で攻撃を受けた。英国国家犯罪庁(NCA)はこれを「単一の複合的サイバーイベント」と分類した。攻撃者はITヘルプデスクを標的としたソーシャルエンジニアリング戦術を使用し、初期アクセスを獲得した。その後、DragonForceランサムウェアを展開し、データの窃取とシステムの暗号化を行った。3人のティーンエイジャーと20歳の女性が7月に逮捕されたが、被害額は最大4億4,000万ポンドに達した。

これらの攻撃に共通するのは、技術的な脆弱性ではなく、人間の善意を悪用している点である。ヘルプデスク担当者は「困っている従業員を助けたい」という正当な動機で行動しているが、その善意が組織全体のセキュリティを危険にさらしている。

多層検証(Multi-Layer Verification)の必要性

従来の本人確認方法が機能しなくなった今、組織は多層検証アプローチへの移行を迫られている。CISAは2024年11月、フィッシング耐性のある多要素認証(Phishing-Resistant MFA)の導入を強く推奨するガイダンスを公開した。特にFIDO(Fast Identity Online)標準に基づく認証は、MFAバイパス技術に対して最も効果的であるとされている。

多層検証アプローチは以下の要素を組み合わせる:

1. アウトオブバンド検証(Out-of-Band Verification): ヘルプデスクへの電話で依頼を受けた場合、必ず事前登録された電話番号にコールバックして本人確認を行う。現在の通話中に提供された情報のみに依存しない。

2. マネージャー承認フロー: パスワードリセットやMFAデバイスの変更といった高リスク操作については、依頼者の直属の上司からの承認を必須とする。Slackやメールでの確認は可能だが、その連絡先もシステムに登録された公式のものを使用する。

3. 段階的な待機期間: MFAデバイスのリセット後、新しいデバイスでの認証を24〜48時間遅延させる。正規の従業員であれば多少の不便を受け入れられるが、攻撃者にとっては時間的制約が致命的となる。

4. 行動分析との連携: 通常とは異なる時間帯、地理的位置、デバイスからのリセット依頼には追加の検証ステップを要求する。UEBAシステムやIDaaS(Identity as a Service)との統合が有効である。

5. フィッシング耐性MFAへの移行: SMS OTPやプッシュ通知型MFAは、SIMスワップ攻撃やMFAファティーグ攻撃に対して脆弱である。FIDO2セキュリティキーやパスキーなど、フィッシング耐性のある認証方式への移行を計画的に進める。

ヘルプデスク担当者の教育と権限設計

技術的対策と並行して、ヘルプデスク担当者の教育とプロセス設計も不可欠である。Scattered Spiderの攻撃成功率が高い理由の一つは、担当者に「例外を認める権限」が与えられていることにある。本来のプロセスでは追加検証が必要な場面でも、「緊急」と主張する発信者に対して柔軟に対応できてしまう。

効果的な対策には以下が含まれる:

模擬攻撃訓練: 定期的に社内でソーシャルエンジニアリング演習を実施し、ヘルプデスク担当者が攻撃パターンを認識できるようにする。実際の攻撃と同様のシナリオ(緊急性を強調する、権威者になりすます、感情に訴えるなど)を使用することが重要である。

エスカレーション文化の醸成: 「疑わしい場合は断る」ことを奨励し、エスカレーションを行った担当者を評価する文化を構築する。ヘルプデスク担当者が「念のため上に確認する」と言いやすい環境が必要である。

プロセスの硬直化: 高リスク操作については、いかなる理由があっても例外を認めないプロセスを設計する。「社長からの緊急依頼」であっても同じプロセスを適用することを明文化する。

MFAファティーグ攻撃への対応: CISAは、ヘルプデスク担当者がMFAに関する問題への対応方法を熟知し、従業員がMFAファティーグやプッシュ通知の悪用詐欺を認識・報告できるよう訓練することを推奨している。

2026年以降の展望

WEF Global Cybersecurity Outlook 2026は、サイバーセキュリティの複雑性が今後も増大し続けると予測している。生成AIの進化により、ディープフェイク音声や映像を使った攻撃はさらに洗練される。攻撃者は従業員だけでなく、取引先、監査法人、法執行機関を装ったなりすましも試みるようになるだろう。

この環境下で組織が取るべきアプローチは、ゼロトラスト原則のヘルプデスク運用への適用である。「信頼するが検証する」から「決して信頼せず、常に検証する」への転換が必要である。これは従業員体験の低下を意味するように見えるが、適切に設計されたプロセスは、正規の従業員には軽微な不便を、攻撃者には越えられない障壁をもたらす。

技術的投資としては、FIDOセキュリティキーの全社展開、アイデンティティガバナンス・管理(IGA)プラットフォームの導入、行動分析AIの活用が優先事項となる。短期的なコスト増は、MGMの1億ドルやMarks & Spencerの数億ポンドの損害と比較すれば、合理的な投資である。ヘルプデスクはもはや「利便性の提供者」ではなく、「アイデンティティの守護者」として再定義されるべき時代に入っている。

FAQ

ヘルプデスク攻撃とは何ですか?

ヘルプデスク攻撃とは、攻撃者が従業員になりすましてITヘルプデスクに連絡し、パスワードリセットやMFAデバイスの変更を依頼するソーシャルエンジニアリング手法である。正規のプロセスを悪用してシステムへの不正アクセスを獲得する。

なぜMFAがあってもヘルプデスク攻撃は成功するのですか?

MFA自体は有効だが、ヘルプデスク経由でMFAデバイスをリセット・変更できてしまう点が脆弱性となる。攻撃者は本人確認をパスした後、新しいMFAデバイスを登録させることで、正規の認証を突破する。

フィッシング耐性MFAとは何ですか?

FIDO2セキュリティキーやパスキーなど、フィッシングサイトやソーシャルエンジニアリングで認証情報を盗まれない設計のMFA方式である。CISAはゼロトラスト原則の一環として導入を推奨している。

中小企業でも多層検証を導入できますか?

可能である。まずはコールバック検証とマネージャー承認フローの導入から始め、段階的にIDaaSプラットフォームやFIDOキーを導入する。クラウドベースのソリューションにより初期投資を抑えられる。

Scattered Spiderとはどのような攻撃グループですか?

英語を母語とするメンバーを含む若年層中心のサイバー犯罪集団である。ソーシャルエンジニアリングに長け、2023年のMGM・Caesars攻撃や2025年の英国小売業者攻撃で知られる。2024年11月に米国で5名が起訴された。

参考文献