CYBER THREAT INTELLIGENCE BLOG

Durov arrested cybercrime world in turmoil

当局がTelegram CEO兼創設者のドゥロフ氏を逮捕、サイバー犯罪者の反応はいかに

2024年8月25日、Telegram のCEO兼創設者であるパヴェル・ドゥロフ(Pavel Durov)氏がパリで逮捕されました。逮捕の容疑はTelegramが違法行為に使用されたこととされており、この逮捕の3日後、同氏はTelegramでの違法行為に関する6つの容疑で起訴されたものの、保釈されました。世界中の人々がTelegramのモデレーション(コンテンツ規制)のゆるさについて議論し、プラットフォーム側がユーザーの犯罪行為に責任を負わされる事態に疑問を呈する声も上がりました。その一方で、Telegramを利用するサイバー犯罪者にもそれぞれの意見があるようです。  KELAがこれまでに公開したブログやレポートでも取りあげてきたとおり、近年Telegramは様々なサイバー犯罪のプラットフォームとして人気を博しています。具体的には、不正に入手したデータ(個人情報や機密文書、侵害されたアカウント情報など)の売買、情報窃取マルウェアやランサムウェア、ハクティビストなどのオペレーションでの利用が挙げられます。Telegramがサイバー犯罪者にとって魅力的なポイントとして、匿名性を確保できることと、コミュニティを構築する機能があることが挙げられます。そしてこの2つを活用することによって、サイバー犯罪者は法執行機関による身元特定を回避することができ、またサイバー犯罪商品の取引相手を多数獲得することができます。 そして今、彼らはドゥロフ氏の逮捕が自分達の活動にどのような影響を及ぼすのかを懸念しています。サイバー犯罪者の中には捜査の可能性を懸念し、新たな安全策を講じるべく議論している者がいる一方で、ドゥロフ氏を支持するべくフランスにサイバー攻撃を仕掛け、攻勢に回る者もいました。今回KELAは、ドゥロフ氏の逮捕を取り巻くサイバー犯罪者の議論と活動を調査しました。
Olympics Cyber threats

2024年のパリオリンピック:侵害はスタートのピストルが鳴る前にはじまる

世間では、2024年7月26日にパリで開幕するオリンピックへの関心がますます高まっています。しかし、オリンピックで開催される試合やその楽しみに向けてウォーミングアップしているのはアスリートだけではありません。2021年の東京オリンピックでは、4億5,000万件ものセキュリティイベントが発生してブロックされる事態となりましたが、パリオリンピックではその8~10倍に上る数のサイバー攻撃が発生すると予想されています。つまり、パリオリンピックのリスクはかつてない程に高まっているということになります。今回KELAは、オリンピックに関連して発生するであろうサイバー攻撃の種類や想定される標的、攻撃を計画している脅威アクターなどを調査し、レポートにまとめました。今回のブログではその概要をご報告します。レポートの全文はこちらからダウンロードしていただけます。  
the 5 most targeted entry points

ハッカーの「欲しいものリスト」:狙われる侵入ポイントトップ5

常に進化するサイバー犯罪情勢においても、変わることのない真実が1つあります。それは、「有効な資格情報は黄金のチケットである」ということです。窃取された資格情報がサイバー犯罪エコシステムに多数流出している状況を背景に、2023年に発生したネットワーク侵害では、主に企業で使用されているアカウントの資格情報が悪用されていました。情報窃取マルウェア関連の活動が急増したことも(2023年は前年から266%増加)、資格情報を使った不正アクセスが増加した要因となっています(1)。 ここで、「ハッカーが資格情報を購入する際、具体的にはどういう商品を探しているのか?」という疑問が浮かび上がってきます。そこでKELAは、企業に不正アクセスする手段として特に悪用されている侵入ポイントを特定するべく、サイバー犯罪フォーラムの活動を分析しました。今回のブログではその調査結果を詳述し、特に標的となっている資格情報やサービスを明らかにします。また、脅威アクターがネットワークを侵害するにあたり、どのように資格情報を入手しているのかについても解説します。
Boost ROI with KELA Cyber Intelligence - Social

KELAのサイバーインテリジェンスプラットフォームが持つ威力:ランサムウェア攻撃を阻止し、ROIを向上

KELA CEO デービッド・カーミエル 今日のデジタル環境では、企業活動の停止にもつながりうるランサムウェア攻撃やデータリーク攻撃が広範な領域で発生しています。実行犯となる脅威アクターは、重要なデータを暗号化したり、窃取するなどし、その後はデータを復号化したり、非公開にしておくことと引き換えに身代金を要求します。しかし、組織に発生する損害は身代金の支払いに留まりません。生産性の低下やデータの復旧作業、評判に対する悪影響などを考慮すると、損害額は数百万ドルに上る可能性があります。しかし、KELAのサイバーインテリジェンスプラットフォームを活用することでそれらのリスクを大幅に軽減し、ランサムウェア攻撃を阻止して、ROIを飛躍的に向上させることが可能となります。
Role of CTI in NIST

NIST & CTI:サイバーレジリエントな組織の構築に最適な組み合わせ

サイバーセキュリティと機密データの保護に関する堅牢な業界基準を確立・維持するにあたって、いまやNISTサイバーセキュリティフレームワーク(NSF)が幅広く活用されるようになっています。NSFは、組織におけるサイバーセキュリティリスクの理解・管理・軽減を支援する5つの機能(識別・防御・検知・対応・復旧)について、概要を示しています。 今回のブログではそれら5つの機能について詳述し、サイバー脅威インテリジェンス(CTI)をNISTフレームワークと併せて活用することでどのように規制を順守できるのか、そして規制が求める以上の成果を出すことができるのかを解説します。

分かち合いは思いやり:協働して脅威を増すランサムウェア&データリークグループ

ランサムウェアグループやデータリークグループは、組織からデータを窃取した後、リークするぞと脅しをかけ、データを公開しない見返りとして身代金を要求します。しかし被害組織を脅迫するという行為は、彼らの活動の一部にすぎません。KELAは、脅威アクターが互いのデータを活用して脅威のレベルを最大化しようと試み、また時には窃取した情報をより広範に配信するべく協働するようになった点に着目しました。状況さえ違えば、心温まる関係と呼べたかもしれません。
Fake Ransomware - The New Cyber Deceit blog

新しい番号から電話?誰だろう―偽RaaSの時代に脅威を検証することの重要性

誰かに模倣されるということは、称賛の極みであるとも言われます。それが事実であるならば、最近ランサムウェア・アズ・ア・サービス(RaaS)オペレーターの中には、自分が称賛されたとご満悦になっている者もいるでしょう。 ランサムウェア攻撃がニュース記事の見出しを飾る一方で、その被害額は2031年には世界で2,310億ドルに上ると予想されています。またアンダーグラウンドでは、サイバー犯罪者が有名なサイバー犯罪グループの名声を利用して注目を集め、分け前にあずかろうと偽のオペレーションを次々と立ち上げています。
Database Dumps - Is There a Reason for Concern blog

そのデータ漏えい、本当に怖がる価値があるのでしょうか?サイバー脅威インテリジェンスが不安を解消できるかもしれません

脅威アクターは、パスワードやユーザー名、社会保障番号、電子メール、その他様々な情報の侵害・窃取をはじめとする違法行為を行い、躍起になって人々の注目を集めようとします。もちろん脅威アクターにデータベースを窃取された場合、データベースを売りに出されたり、無料で公開される可能性がある他、攻撃者が組織を攻撃する際の足掛かりとして使用される可能性もあるため、データ侵害はセキュリティチームにとって深刻な懸念事項となります。そのような事態を想像すると、脅威アクターが「有名」な企業からデータを窃取したと犯行声明を出したときには、大きな関心と恐怖心が集まるのも何ら不思議ではありません。 しかし、はたして我々は常に脅威アクターの犯行声明を信じ、脅える必要があるのでしょうか?彼らの犯行声明は、嘘かもしれません。一般公開されているソースからスクレイピングしたデータを、あたかも秘密裏に窃取したものであるかのように語っている可能性もあります。今回のブログでは、皆さんがニュースでデータベースのダンプが窃取・流出したという見出しを目にした時に、その真偽に疑問を持ちたくなるような事例を3つご紹介します。
Blog I-Soon image

KELAの洞察:I-Soon社の流出データ

2024年2月16日、「I-S00N」という名称のレポジトリが「GitHub」にアップロードされました。レポジトリ内の記載によると、中国のサイバーセキュリティ関連企業「I-Soon(安洵信息技术有限公司/i-soon[.]net)」社の内部情報を流出する目的で公開されたということです。そして実際、そして実際、これらのファイルは同社の製品(スパイウェアや攻撃ツール)やサービスに関する文書が含まれていました。一方AP通信の報道によると、それらのデータについてはI-Soon社の従業員2人が同社から流出したものであることを認めたということです。しかし、誰がどのような方法でこのレポジトリを公開したかについては、現在も明らかになっておりません。 今回のブログでは、KELAが同レポジトリのデータを入手・分析して得た洞察の中でも、特に興味深いトピック(流出したデータの構造、I-Soon社の顧客および想定される標的、同社とAPTのつながり、ゼロディ脆弱性に関する議論など)を取りあげて解説します。
Russia-Ukraine war: pro-Russian hacktivist activity two years on

ロシア・ウクライナ戦争勃発から 2年:親ロシア派ハクティビスト グループの現状

ロシアによるウクライナ侵攻がはじまって2年が経過しました。この戦争では、地上のみならずサイバー空間でも戦闘が繰り広げられています。ロシアの国家支援を受けたAPTグループが、ウクライナの政府機関や電気通信会社などの組織を標的にする事例が観察されている一方で、ウクライナ政府がロシアの組織を攻撃したと主張した事例も観察されています。