Resecurity のハニーポットが活躍：Scattered Lapsus$ Hunters の情報を巧みに取得

Researchers Trap Scattered Lapsus$ Hunters in Honeypot

2026/01/06 SecurityWeek — 悪名高いサイバー犯罪グループ Scattered Lapsus$ Hunters のメンバーが、Resecurity が巧妙に設計したトラップに陥り、自身の攻撃インフラに関する情報を漏洩させた。2026年1月初旬に、Scattered Lapsus$ Hunters のハッカーたちは、Resecurity を侵害して大量のデータを窃取したと主張し、その内容を Telegram チャンネル上で誇示していた。しかし、Resecurity が数か月前から準備していたハニートラップに捕捉されていた事実を、ハッカーたちが認識したことで、この投稿は削除された。

攻撃者を特定／追跡する目的で、Resecurity の研究者たちが構築したのは、大量の合成データを含むハニーポット環境である。それに加えて、盗難認証情報が売買されるダークウェブ市場に偽アカウントを配置し、攻撃者の行動を継続的に観測していた。

Resecurity の公開サービスやアプリケーションを、攻撃者たちが偵察目的で精査していることを確認したことで、同社は 2025年11月に本格的なトラップの展開を決定した。実在の資産から完全に隔離されたエミュレート環境内にハニーポットを設置し、厳格な監視体制の下で運用が開始された。

さらに同社は、ダークウェブ上にハニートラップ用アカウントを設置し、オープンソースおよび過去の侵害データを基に生成した情報を環境内に配置することで、攻撃者にとって “価値がある” 標的に見せかけた。

Resecurity は、「合成データとして、２種類のデータセットを使用した。１つは消費者を装う 28,000件以上のレコードであり、もう１つは 190,000件以上の決済取引レコードである。いずれもダークウェブやアンダーグラウンド市場で流通している既知の侵害データを参照し、現実性を高めた」と説明している。

これらのデータは、金融取引を伴うビジネス・アプリケーションを模倣するよう設計され、さらに、2023年の古いログを参照するチャット履歴を組み込むことで、信憑性を補強していた。

最初の不審な活動は 11月に観測され、12月中旬に再開された。この段階では、住宅用 IP プロキシを利用した自動化ツールが、合成データのダンプ取得を試みていた。

Resecurity は、「12月12日〜24日の間に、脅威アクターは 18万8,000件以上のリクエストを送信し、合成データの取得を試みた。この期間中において、当社のチームはすべての活動を記録し、関係する法執行機関および ISP と情報を共有していた」と述べている。

ハッカーの監視と特定

Resecurity は、攻撃者の行動を詳細に観測することで、TTP (tactics, techniques, and procedures) に関する知見を獲得した。プロキシ接続が失敗した際に露出する実 IP アドレスを特定し、その中に含まれるエジプトに関連する２つの IP アドレスを把握した。

このトラップの詳細を記したブログを、同社が公開してから約１週間後に、Scattered Lapsus$ Hunters は Resecurity に侵入して従業員データ／チャット／ログ／顧客情報を窃取したと、Telegram 上で再び主張した。

攻撃者は、Resecurity を完全に掌握していると主張していたが、実態はその逆であった。

Resecurity は 1月3日のアップデートで、「脅威アクターが共有したスクリーンショットは、”[honeytrap].b.idp.resecurity.com” に関連するものだ。これは、ダークウェブ由来の侵害データを用いてエミュレートされたシステムである。Resecurity の実顧客環境とは一切関係がない。また、2025年11月頃にハニートラップ用アカウント Mark Kelly のために用意した、Mattermost アプリケーションも表示されていた」と述べている。

さらに同社は、ハニーポット運用を通じて収集されたネットワーク情報やタイムスタンプが、法執行機関による脅威アクター召喚状の発行要請に利用されたことを明らかにした。

研究者たちは攻撃者の特定に加え、関連する Gmail アカウント／米国の電話番号／Yahoo! アカウントと関連付けることに成功し、これらの情報を関係当局と共有したとしている。

大活躍の Resecurity ですね。2026/01/05 の「Resecurity の AI ハニーポット：ShinyHunters に打撃を与えた巧妙な合成データ作戦とは？」でも、このトラップで脅威アクターの情報を取得した経緯が紹介されています。Resecurity が用意したハニーポットは、過去の漏洩データや古いチャット履歴を組み合わせた非常に精巧なものでした。目の前のデータが本物であると過信し、十分な検証を行わずに自身の活動を露呈させてしまった攻撃者の思い込みが、このオペレーションを成功させた背景にあります。よろしければ、Honeypot での検索結果も、ご参照ください。