CYBER THREAT INTELLIGENCE BLOG

分かち合いは思いやり:協働して脅威を増すランサムウェア&データリークグループ

ランサムウェアグループやデータリークグループは、組織からデータを窃取した後、リークするぞと脅しをかけ、データを公開しない見返りとして身代金を要求します。しかし被害組織を脅迫するという行為は、彼らの活動の一部にすぎません。KELAは、脅威アクターが互いのデータを活用して脅威のレベルを最大化しようと試み、また時には窃取した情報をより広範に配信するべく協働するようになった点に着目しました。状況さえ違えば、心温まる関係と呼べたかもしれません。
Fake Ransomware - The New Cyber Deceit blog

新しい番号から電話?誰だろう―偽RaaSの時代に脅威を検証することの重要性

誰かに模倣されるということは、称賛の極みであるとも言われます。それが事実であるならば、最近ランサムウェア・アズ・ア・サービス(RaaS)オペレーターの中には、自分が称賛されたとご満悦になっている者もいるでしょう。 ランサムウェア攻撃がニュース記事の見出しを飾る一方で、その被害額は2031年には世界で2,310億ドルに上ると予想されています。またアンダーグラウンドでは、サイバー犯罪者が有名なサイバー犯罪グループの名声を利用して注目を集め、分け前にあずかろうと偽のオペレーションを次々と立ち上げています。
Database Dumps - Is There a Reason for Concern blog

そのデータ漏えい、本当に怖がる価値があるのでしょうか?サイバー脅威インテリジェンスが不安を解消できるかもしれません

脅威アクターは、パスワードやユーザー名、社会保障番号、電子メール、その他様々な情報の侵害・窃取をはじめとする違法行為を行い、躍起になって人々の注目を集めようとします。もちろん脅威アクターにデータベースを窃取された場合、データベースを売りに出されたり、無料で公開される可能性がある他、攻撃者が組織を攻撃する際の足掛かりとして使用される可能性もあるため、データ侵害はセキュリティチームにとって深刻な懸念事項となります。そのような事態を想像すると、脅威アクターが「有名」な企業からデータを窃取したと犯行声明を出したときには、大きな関心と恐怖心が集まるのも何ら不思議ではありません。 しかし、はたして我々は常に脅威アクターの犯行声明を信じ、脅える必要があるのでしょうか?彼らの犯行声明は、嘘かもしれません。一般公開されているソースからスクレイピングしたデータを、あたかも秘密裏に窃取したものであるかのように語っている可能性もあります。今回のブログでは、皆さんがニュースでデータベースのダンプが窃取・流出したという見出しを目にした時に、その真偽に疑問を持ちたくなるような事例を3つご紹介します。
Blog I-Soon image

KELAの洞察:I-Soon社の流出データ

2024年2月16日、「I-S00N」という名称のレポジトリが「GitHub」にアップロードされました。レポジトリ内の記載によると、中国のサイバーセキュリティ関連企業「I-Soon(安洵信息技术有限公司/i-soon[.]net)」社の内部情報を流出する目的で公開されたということです。そして実際、そして実際、これらのファイルは同社の製品(スパイウェアや攻撃ツール)やサービスに関する文書が含まれていました。一方AP通信の報道によると、それらのデータについてはI-Soon社の従業員2人が同社から流出したものであることを認めたということです。しかし、誰がどのような方法でこのレポジトリを公開したかについては、現在も明らかになっておりません。 今回のブログでは、KELAが同レポジトリのデータを入手・分析して得た洞察の中でも、特に興味深いトピック(流出したデータの構造、I-Soon社の顧客および想定される標的、同社とAPTのつながり、ゼロディ脆弱性に関する議論など)を取りあげて解説します。
Russia-Ukraine war: pro-Russian hacktivist activity two years on

ロシア・ウクライナ戦争勃発から 2年:親ロシア派ハクティビスト グループの現状

ロシアによるウクライナ侵攻がはじまって2年が経過しました。この戦争では、地上のみならずサイバー空間でも戦闘が繰り広げられています。ロシアの国家支援を受けたAPTグループが、ウクライナの政府機関や電気通信会社などの組織を標的にする事例が観察されている一方で、ウクライナ政府がロシアの組織を攻撃したと主張した事例も観察されています。
Lessons from Okta and beyond blog

Okta社のインシデントで学ぶべき教訓:侵害された端末がもたらす脅威から組織を保護するには

昨年10月に発生したOkta社のインシデントを覚えていますか?その後事態は落ち着き、最終調査報告書が提出されました。しかしCloudflare社の方は、問題がそこで終わることはありませんでした。攻撃者が、侵害したOkta社のセッションを悪用してCloudflare社のシステムにアクセスしたのです。この事態により、これまでセキュリティのベストプラクティスと考えられてきた対策に重大な疑問が生じることとなりました。
Ransomware Goes Direct Market

もはやデータだけでは終わらない――ネットワークアクセスを直販するようになったランサムウェアグループ

現状に甘んじていては、次の成功を手にすることはできない—大きな成長と成果の実現を後押しするこのアドバイスは、誰にとっても意味があると言えるでしょう。たとえ皆さんがランサムウェアグループやデータリークグループであったとしてもです。

データの漏えいからボットを使った端末の乗っ取りまで:漏えいした資格情報 vs. 不正アクセスされたアカウント情報

もし誰かが私たちに、「漏えいした資格情報」と「不正アクセスされたアカウント情報」の違いを尋ねるたびに1セントをもらえたとしたら、近いうちに袋入りのオレオを買って同僚たちにご馳走できる日が来たことでしょう。 なぜ、「漏えいした資格情報」と「不正アクセスされたアカウント情報」の違いが重要となるのでしょうか?米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)によると、サイバー攻撃の54%で有効なアカウントが悪用されていたということです。つまり、「漏えいした資格情報」と「不正アクセスされたアカウント情報」がもたらすリスクを理解することこそが、サイバー攻撃を防ぐうえで重要になるのです。 今回のブログでは、「漏えいした資格情報」と「不正アクセスされたアカウント」を取りあげ、脅威アクターがそれらの情報をどのように入手しているのかを解説します。また、セキュリティ上の弱点についても取りあげ、皆様が自組織を防御するにあたって取るべき対応を提言します。

いまや脅威アクターの新たな武器となった、既製ランサムウェアのソースコード

アヒルのように見える生き物が、アヒルのように歩いていたら…。皆さんがそれをアヒルと判断する前に、まずもう少し詳細を確認する必要があります。2023年10月頃、Hunters Internationalはランサムウェアグループ「Hive」のリブランドであろうと考えられていましたが、その見解が間違っていたことが後に判明しました。この事例は、目で見たものをそのまま信じる前に、その詳細を確認することがこれまで以上に重要になっていることを浮き彫りにしています。
2024 in Cybercrime_ KELA Predictions-1

KELAが予測するサイバー犯罪のトレンド:2024

一部の脅威アクターは年末年始の休暇を楽しんでいると思われ、昨年の大晦日は、KELAの監視活動においてもランサムウェア攻撃の被害組織は確認されませんでした。しかし、この小康状態もそう長くは続かないものと思われます。2024年のサイバー攻撃が本格化するに先立ち、今回のブログでは、我々が予測する今年のサイバー犯罪トレンドについて詳述します。