Silent Ransom Groupとは何者で、どのように法律事務所を攻撃しているのですか？

Silent Ransom Group（SRG）は、法律事務所のITスタッフになりすまして物理的にオフィスのデバイスにアクセスし、機密データを窃取した上で組織に恐喝を仕掛ける脅威アクターです。

攻撃者はどのようにして法律事務所のコンピューターに物理的にアクセスするのですか？

彼らはまず標的の事務所の人員やITワークフローを調査し、その後実際に現地に赴いてIT技術者やサポート契約業者を装い、自信に満ちた態度と業務への精通ぶりでスタッフを信用させ、アクセスを許させます。

なぜ法律事務所はこの種の攻撃に対して特に脆弱なのですか？

法律事務所は膨大な量の秘匿特権のある機密性の高い顧客データを保有しており、信頼を基盤とする文化の中で運営されているため、スタッフは公式なIT担当者のように見える人物に対してアクセスを許してしまいがちです。

VPNやネットワークセグメンテーションでは、なぜこれらのなりすまし攻撃を防げないのですか？

これらの防御策は遠隔トラフィックとネットワーク境界のみを管理するものであり、オフィス内部でログイン済みのコンピューターに物理的に座っている攻撃者は、それらを完全に迂回してしまいます。

攻撃者はデータを盗んだ後、何をするのですか？

彼らは恐喝の要求を行い、支払いがなければ盗んだ情報を公開または売却すると脅迫します。

FBI、Silent Ransom Groupが法律事務所でITスタッフになりすまし物理的に侵入していると警告

FBIは正式な警告を発し、Silent Ransom Group（SRG）として知られる脅威アクターが、ソーシャルエンジニアリングと物理的ななりすまし攻撃を組み合わせて法律事務所を標的にしていると注意喚起した。ほとんどのサイバー攻撃が遠隔地から仕掛けられるのとは異なり、SRGの実行犯は実際に現地に赴き、ITサポートスタッフを装ってオフィスのデバイスに物理的にアクセスし、機密データを窃取した上で、組織に対して恐喝を行う。自社のデジタル防御で十分だと考えている法曹関係者にとって、この警告は大きな警鐘である。

Silent Ransom Groupが法律事務所のネットワークへ物理的にアクセスする手口

SRGの手法は単純明快だが、極めて効果的だ。攻撃者は標的の法律事務所を偵察し、人員、オフィスの配置、ITのワークフローを特定する。その後、実際にオフィスに赴き、IT技術者やサポート契約業者を装う。標的の環境に精通している様子を自信たっぷりに見せることで、スタッフを信用させ、コンピューターやサーバー、その他のネットワーク接続デバイスへのアクセスを許させるのである。

内部に侵入すると、グループは物理的に触れられる端末から直接データを抽出する。これには、顧客ファイル、訴訟資料、財務記録、秘匿特権のある通信などが含まれ得る。データを窃取した後、被害者は恐喝の要求を受け、支払いに応じなければ盗んだ情報を公開または売却すると脅される。

法律事務所は、この手口において特に魅力的な標的である。機密性が高く、秘匿特権に守られた大量の顧客データを保有している。また、歴史的に信頼と専門的な関係性の上に成り立ってきた組織であるため、スタッフは公式な立場でそこにいるように見える相手に対し、礼儀を尽くして接してしまう傾向が強い。

VPNやネットワークセグメンテーションでは、既に部屋の中にいる相手を阻止できない理由

サイバーセキュリティに関する議論の大半は、フィッシングメール、クレデンシャルスタッフィング、悪意あるリンク経由で拡散されるランサムウェアといった遠隔の脅威に集中している。それに対応して通常導入されるツール、例えばVPN、ファイアウォール、ネットワークセグメンテーションは、インターネット越しにシステムに出入りするトラフィックを制御するためのものである。攻撃者が建物内のワークステーションに座っている場合、それらはほとんど無意味だ。

SRGのようなグループが仕掛ける法律事務所への物理的ななりすまし攻撃は、ネットワークベースの防御をあらゆる層で迂回してしまう。誰かがログイン済みのコンピューターの前に座ることを許された時点で、多要素認証は既に通過されている。USBドライブを差し込んだり、ローカルネットワーク上の共有フォルダにアクセスしたりすれば、遠隔ユーザー間の暗号化トンネルは何の役にも立たない。ネットワークセグメンテーションはラテラルムーブメント（横移動）をある程度制限できるが、使用されているデバイスから既にアクセス可能なものへのアクセスまでは防げない。

これこそが、サイバーセキュリティを純粋に技術的な領域として扱うことの根本的な問題である。人間の行動と物理的環境は、いかなるソフトウェア製品でも完全には対処できない攻撃表面を作り出す。同じ原則は内部脅威や資格情報の悪用にも当てはまり、アクセス制御が高度なハッキングではなく単純な人為的ミスや過失によって迂回されるケースに見られる。これは、CISAの契約業者がAWSキーとパスワードを公開GitHubリポジトリ上に流出させた事例の報道でも探求されたパターンである。

この脅威を実際に軽減するゼロトラストと物理的セキュリティ管理策

ゼロトラストアーキテクチャはしばしばリモートアクセスの文脈で語られるが、その中核原則はここに直接当てはまる。すなわち、適切な場所にいるように見えるというだけで、人やデバイスがアクセス権を持つべきだと決して想定してはならない、ということだ。物理的環境においては、これはいくつかの具体的な実践に置き換えられる。

第一に、訪問者やベンダーの確認プロセスを正式に定め、一貫して徹底しなければならない。ITサポートを名乗る人物は誰であれ、いかなるデバイスへの監視なしのアクセスを許可する前に、独立した経路を通じて確認される必要がある。それは、訪問者が提示した番号ではなく、IT部門に直接電話をかけ、訪問が予定されていたものかを確認することを意味する。

第二に、ワークステーションとデバイスは、一定時間操作がない状態が続いた後に再認証を要求すべきであり、理想的には、離席時に機密システムにログインしたままにすべきではない。物理ポートロックやUSBブロッカーは、不正にアクセスされたデバイスからの不正なデータ転送を防ぐことができる。

第三に、デバイスレベルでのアクセスログの記録が重要である。もし不正な人物がアクセスしたとしても、フォレンジック（証拠保全）の痕跡があれば、何が持ち出されたかを特定し、その後の恐喝の被害範囲を限定する助けとなる。

最後に、スタッフトレーニングでは、フィッシングメールだけでなく、物理的なソーシャルエンジニアリングのシナリオも明示的に扱う必要がある。法律事務所の従業員、特に受付スタッフは、礼儀正しさや権威と見える相手への敬意こそが、攻撃者が悪用する特性そのものであることを知っておくべきである。

これがあなたにとって意味すること：機密性の高い業界のプロフェッショナルが取るべき実践的措置

法律、金融、医療、あるいは特権的または規制対象の情報を取り扱うその他の分野で働いているならば、SRGに関する警告を機に、デジタルと物理的両面のセキュリティ態勢を見直すべきである。以下が出発点となる。

訪問者アクセス手順を監査する。 あなたの組織には、予定外のIT訪問を確認する正式なプロセスがあるだろうか？答えが「いいえ」か不明瞭な場合、その欠落は直ちに塞がなければならない。
デバイスのロックと認証ポリシーを見直す。 一定時間後に自動ロックされ、再開に資格情報を要求するデバイスは、物理的攻撃者にとっての機会の窓を大幅に狭める。
物理的ソーシャルエンジニアリングについてスタッフを訓練する。 誰かがベンダーやIT契約業者を装うシナリオをチームで実施する。アクセス前の確認を習慣化すること。
データアクセスモデルを評価する。 最小権限の原則を適用し、たとえワークステーションが侵害されても、攻撃者がその特定のユーザーアカウントが通常扱う以上のデータに到達できないようにする。
リモートアクセスポリシーも併せて確認する。 物理的セキュリティとデジタルアクセス制御は一体で機能する。片方だけ見直してもう片方を放置すれば、隙間が残る。

FBIによるSilent Ransom Groupに関する警告は、効果的なセキュリティには、ネットワーク、デバイス、そして部屋という三次元で脅威を考える必要があることを改めて思い起こさせるものである。機密性の高い業界のプロフェッショナルは、今こそ、自らの現在の手順が、そこにいるのが当然のように見える人物が正面玄関から入ってきた場合に、本当に阻止できるのかを評価すべき時である。