「パスワードをリセットするのはセキュリティ対策の基本!」
一見正しいように思えるこの常識が、今、逆に危険を招くことがあります。
「Scattered Spider(散らばった蜘蛛)」と呼ばれる高度な攻撃者集団を封じるため、FBIとCISAは“パスワードをリセットしてはならない”という異例の警告を発しました。
その真意と、私たちが直ちに取るべき行動についてわかりやすく解説します。
目次
FBIが「リセットするな」と警告する理由
2025年7月29日に更新されたFBIとCISAの共同アラート(AA23‑320A)では、Scattered Spiderがヘルプデスクになりすまし、従業員のパスワードおよびMFAトークンを攻撃者管理下のデバイスへ移転させていると指摘しています。
このため、“正しい行動”であるはずのパスワードリセットが、実はアカウント乗っ取りの一助になる恐れがあるのです。
Scattered Spiderの狡猾な手口とは?
- ヘルプデスク担当者に電話やSMSで接触し、パスワード変更手順の情報を引き出す
- MFAの認証トークンを攻撃者が制御するデバイスに転送させるよう誘導
- 連続的な通知を送り続けてMFA承認を誘う“push bombing”戦術も使用
- AnyDeskやTeleport.shなど正規のリモートアクセスツールを悪用して残留アクセスを確保
パスワード変更が危険になるケースとは?
通常、パスワード変更は推奨されますが、このアラートの意図するのは信頼できない経路でのリセット操作です。
攻撃者に導かれてリセットすれば、それ自体がアカウントの乗っ取りにつながるのです。
有効な防御策:FBIと専門家の推奨
- フィッシング耐性のある認証方式を採用(FIDO/WebAuthn)
- ITヘルプデスクのパスワードリセット手順を見直し、厳格な本人確認を義務づける
- MFAトークンの移転を求める不審な依頼には一切応じないこと
- リモート管理ツールは許可されたツールのみを利用し、異常なログインやソフトウェア実行を監視
- 定期的な従業員教育で、ヴィッシングやスピアフィッシングへの耐性を高める
- オフラインかつテスト済みのバックアップを保持し、ネットワーク分割を徹底する
なぜこの警告が重要なのか?背景と今後のリスク
Scattered Spiderはこれまで保険・小売・航空業界などに甚大な被害を与えてきました。航空会社を含む業界全体が標的となり、攻撃手法も進化し続けています。
過去には関係ないとされていたShinyHuntersとの協力者関係や類似の戦術展開も報告されており、不透明な脅威動向への注意が求められます。
✅ 要点まとめ
- 「パスワードをリセットしてはならない」は、信頼できない指示による正当化された攻撃手段です。
- ヘルプデスクやIT部門の対応プロセス強化と従業員教育が第一線の防御となります。
- 信頼性の高い認証方式(FIDO/WebAuthn)やオフラインバックアップ、防御主導の認証ツール導入が不可欠です。
参考情報:
– Forbes「Do Not Reset Your Password — FBI Issues Critical New Warning」
– Cybersecurity Dive「FBI, CISA warn about Scattered Spider’s evolving tactics」
– FBI/CISA 脅威勧告(AA23‑320A)
– News速報:Scattered Spider航空業界への攻撃警告例
参考記事
Do Not Reset Your Password — FBI Issues Critical New Warning
https://www.forbes.com/sites/daveywinder/2025/08/02/do-not-reset-your-password---fbi-issues-critical-new-warning/
