電話1本で数百億円の損害 17歳の犯人が突いた「人間の脆弱性」：英国の小売大手が被害

2025年、英国の小売大手M&Sなどがサイバー攻撃を受け、数百億円規模の被害が発生した。攻撃の手口はどの職場にもある電話を使ったものだった。その手口と対策を整理する。

[Alex Scroxton，TechTarget]

　2025年、英国の大手小売り企業やメーカー数社が大規模サイバー攻撃に見舞われ、数百億円規模の被害が発生した。その手口は高度な技術ではなく、電話一本で始められるものだった。

電話で何を話すとサイバー攻撃が始まるのか

併せて読みたいお薦め記事

サイバー攻撃の最新トレンド

• 最短6分でデータ流出　AI vs. AIの戦いに勝つためのセキュリティ戦略とは
• 瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓

　2025年4月18日から21日、英国のスーパーマーケットチェーンMarks and Spencer Group（M&S）のSNSが炎上した。同社の実店頭ではコンタクトレス決済ができなくなり、クリック＆コレクト（EC＜電子商取引＞サイトで購入した商品を実店舗や宅配ボックスなどで受け取る仕組み）が停止し、混乱が広がったためだ。同国はイースター休暇中で、買い物客でごった返す時期だった。

　当初、この障害は時折発生するIT障害の1つと捉えられていた。しかし同月22日、M&Sはオンラインショッピングや店頭受け取りサービスなどの公開サービスを停止。最高経営責任者（CEO）のスチュアート・マシン氏はメディアを通じ、同社がサイバー攻撃を受けた事実を認めた。

　その後、消費者協同組合Co-operative Group（Co-op）や百貨店を展開するHarrods、自動車メーカーJaguar Land Roverも被害に遭った。攻撃を主導したのは、英語圏のサイバー犯罪集団「Scattered Spider」や「Lapsus$」「ShinyHunters」だ。

全ては1本の電話から始まった

　セキュリティベンダーCheck Point Software Technologiesのシャーロット・ウィルソン氏によると、一連の攻撃における侵入ルートは「電話」だったという。「何者かが従業員を装い、ヘルプデスクの担当者を説得してシステムへのアクセス権を奪った。この会話をきっかけに、数百億円規模の損害が発生した。英国の小売史上最悪のサイバー攻撃は、会話から始まった」（ウィルソン氏）

　「侵入経路が技術とは関係なかったことを把握できたことは重要だ」。セキュリティ企業ハントレスのムハンマド・ヤヒヤ・パテル氏はこう説く。小売業に限らず、全てのセキュリティチームがこの事例を教訓として壁に貼っておくべきだという。

　「攻撃者はゼロデイ脆弱性を見つけた訳でも、次世代ファイアウォールを突破した訳でもない。電話をかけ、M&Sの従業員に成りすまして、外部委託先のサービスデスクにパスワードのリセットを求めた。それだけだ」（パテル氏）

　電話の後、Active Directory（AD）のデータベース流出、認証情報の解析、VMwareホストへのランサムウェア展開へと発展していった。これら全ては、サービスデスクの運用プロセスに不備があったために起きたことだ。

　M&Sの会長アーチー・ノーマン氏は英議会で「高度ななりすまし」であると表現したが、電話でのなりすましはScattered Spiderの常とう手段として知られていた。2023年9月、ラスベガスを中心にホテルやカジノを運営するMGM Resorts Internationalがランサムウェア攻撃を受けた際の攻撃手法として認知されていたはずだが、M&Sは攻撃を受けてしまった。

　「衝撃的なのは、逮捕された4人の年齢が17歳から20歳だったことだ。彼らは潤沢な資金を持つ国家をバックに持っていない。英語を操り、組織の技術的制御と人間、プロセスの間の『隙』を見つけるのが極めて巧みだった」（パテル氏）

役員会議の会話に変化

　ウィルソン氏によれば、M&Sへの攻撃事例は小売業界に警鐘を鳴らしたという。同氏の顧客の大半はサプライチェーンの精査を始めているという。

　「自社のセキュリティ強度は、取引先や委託先、サプライヤーを含めたエコシステム全体で決まる。エコシステムの中で最もセキュリティが弱い企業や箇所が侵入口になり得る。これが残酷な真実だ。多くの小売業者は、この事実を真剣に捉えてこなかった。18カ月前にはなかったサプライチェーンのリスクについての議論が、いまや役員会議で交わされている」（ウィルソン氏）

　サイバーリスクは、もはや現場レベルではなく経営課題として認識されるようになった。この文化的な変革こそが、事件が残した遺産だ。

セキュリティリーダーが学ぶべき5つの教訓

　パテル氏は、M&Sの事件から得られた最高情報セキュリティ責任者（CISO）向けの教訓を5つ挙げている。

「人間の脆弱性」が最大の攻撃対象だと理解する

　攻撃者は悪意のあるメールすら送っていなかった。自社や委託先のヘルプデスクに電話1本で特権アカウントの認証情報のリセットを依頼できる状態は許容できない欠陥だ。

ADを「至宝」として扱う

　「ADのセキュリティを後回しにする組織が多過ぎる」とパテル氏は強調する。ドメインコントローラーのデータベースを奪われたら、その時点で「詰み」だ。検知やアクセス制御を最優先事項にすべきだ。

レガシーインフラは「技術的負債」ではなく「リスク」

　M&Sは新旧のシステムが混在し、攻撃者の横移動（ラテラルムーブメント）を容易にしていた。これは多くの組織が抱える普遍的な問題だ。

サードパーティーのリスクを過小評価しない

　委託先のエコシステムにも、自社システムと同等の厳格な精査が必要だ。さもなければ、直面している真のリスクを把握することはできない。

侵入を前提とし、対応力を構築する

　M&SとCo-opの事例を比較すると、被害の結末は大きく異なる。Co-opの方が復旧までの時間は短かった。「防御には限界がある。回復力（レジリエンス）は対応の速さに宿る」（パテル氏）

　レッドチーム（攻撃側を演じる検証チーム）を率いるドミニク・モルティマー氏も、ソーシャルエンジニアリングへの警戒感が高まっていることに同意する。

　「M&Sの事件後、同様のシナリオをテストに含めたいという要望が急増した。最新のテストの8割で、ヘルプデスクを狙った音声詐欺（ビッシング）のシミュレーションを実施している。これまで軽視されていた領域に光が当たったことは、不幸中の幸いといえる」（モルティマー氏）

教訓をどう生かすか

　とはいえ、小売業界のセキュリティは依然として厳しい戦いが続いている。ウィルソン氏は、以下の理由から小売業特有の構造的な難しさを指摘する。

• 一般消費者向けの窓口が多いためにフィッシングの試行回数が膨大になること
• 現場スタッフの離職率が高いこと
• 歴史的にセキュリティ成熟度が低いこと
• 小売業の利益率の低さゆえ、セキュリティへの投資が過小傾向にあること

　パテル氏は、攻撃者がメール、電話、SMS、Microsoft Teamsなどを組み合わせ、従業員との信頼関係を築いてから攻撃を仕掛ける「マルチチャネル手法」が増えていると警告する。

　「セキュリティ用のツールをそろえるだけでは不十分だ。実態を把握し、従業員を教育する文化が必要になる。これからの時代に強くなれるのは、最も投資できる企業ではない。自社の本当の弱点に正直になり、弱点をケアできる企業だ」

　「侵入の瞬間だけ見張っていても、被害は防げない。認証後の挙動の可視化と、異常検知に戦略の重点を移すべきだ」

　ウィルソン氏は、M&Sの事件が政府を動かしたとも評価している。国家サイバーセキュリティセンター（NCSC）の活動や、新しいサイバーセキュリティレジリエンス法案など、進展は見られる。

　一方で、消費者の行動は変わっていない。個人データの扱いには依然として無頓着だ。さらに、流出事件の被害者を狙い「補償金を受け取れる」とかたるディープフェイク動画による二次被害も発生している。

　「最初の攻撃はニュースになるが、その後に続く詐欺は報じられない。二次的な搾取を見抜き、抵抗する能力は向上していない。攻撃者はそれを知っており、そこを狙っているのだ」とウィルソン氏は警告を鳴らす。