近年、自動車業界はデジタル化の波を受けて急速に変化しています。また同業界で新たなテクノロジーの重要性が増すにつれ、様々なサイバー脅威の入り込む余地が拡大しており、サイバー犯罪者の間では自動車業界に対する攻撃への関心が高まっています。

2023年8月、KELAは、重大な脆弱性がアンダーグラウンドのサイバー犯罪コミュニティで多大な関心を集めていることを確認しました。関心の対象となっている脆弱性は以下の通りです。 CVE-2023-3519 （Citrix ADCおよびNetScaler Gatewayの脆弱性） CVE-2023-27997 （Fortigateの脆弱性） CVE-2023-34124 （SonicWallの脆弱性） CVE-2022-24834 （Redisの脆弱性） 本レポートでは、これらの脆弱性の詳細とその影響、推奨される緩和策について詳述します。また、脅威アクターは常に悪用可能な脆弱性を模索しているという現状を踏まえ、最近観察されたWindowsとTP-Link社製ルーター「W8970」に影響を及ぼすゼロディ脆弱性の事例2件についても取りあげます。

「GDPR当局は、我々の関係をどう思うだろうかね？」―2023年8月に登場したデータリークグループ「RansomedVC」は、自らのブログで被害組織にこう語りかけていました。同グループがGDPR（EU一般データ保護規則）を攻撃に利用していたことが発覚した当時は、それほど一般的に用いられている手口ではないと考えられていたこともあり、またたく間に話題となりました。しかし実際には、すでに多くの攻撃グループが自らのブログや身代金要求メモでRansomedVCと同様の手口を使用しており、彼らもGDPRの名を出して欧州の被害組織にプレッシャーを与え、金銭を支払わせようとしています。今回のレポートでは、GDPRを恐喝に利用している攻撃者について考察します。

2023年8月、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、2022年に頻繁に悪用された脆弱性のリストを公開しました。このリストに掲載されている脆弱性は、いずれも2018～2022年にかけて公開されたものです。KELAがサイバー犯罪社会でこれらの脆弱性に関する投稿を調査した結果、特に以下の脆弱性が頻繁に話題に上っていることが判明しました。 Microsoft Exchange サーバーに影響を及ぼす脆弱性「ProxyShell」 （CVE-2021-34473、CVE-2021-34523、CVE-2021-31207） Fortinet社製「FortiOS」に影響を及ぼす脆弱性（CVE-2018-13379） Microsoft Support Diagnostic Tool（MSDT） に影響を及ぼす脆弱性「Follina」 （CVE-2022-30190） 今回のレポートでは、脅威アクターが脆弱なインスタンスを特定して悪用するコツやツールを公開している様子の他、上記の脆弱性の影響を受ける企業のネットワークアクセスを販売したり、パッチの回避方法を公開している様子をご報告します。

Okta社、Uber社、EA Games社の共通点とは何でしょうか？ 答えは、いずれの企業も侵害された従業員の資格情報に端を発したサイバー攻撃の被害組織であるということです。サイバー犯罪の情勢が常に変化する中、脅威アクターらは従業員の資格情報をはじめ、企業の機密データを入手する新たな方法を次々に発見しています。また彼らが従業員の資格情報を入手する際には、情報窃取マルウエアを使用したり、ボットマーケットやTelegramチャンネルでボット（すでに情報窃取マルウエアに感染した端末）を購入するパターンが最も一般的となっています。 先日、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、政府機関や重要インフラストラクチャを標的としたサイバー攻撃のうち、侵害された資格情報を悪用した事例が半分以上を占めていたことを公表しました。これは、サイバー犯罪者が従業員の資格情報や、初期設定の管理者用資格情報を悪用していることを意味しています。組織で使用されているログイン資格情報は無料で公開されている場合もあれば、マーケット等で販売されている場合もあり、脅威アクターはいずれかの方法でログイン資格情報を入手し、重要な資産としてフィッシング攻撃からランサムウエア攻撃にいたるまで、様々なキャンペーンに利用しています。 今回のブログでは、資格情報を入手する方法を2つ取り上げてその違いを検証します。1つは個別にボットを購入できるマーケット（「Russian Market」や「Genesis」、「TwoEasy」など）を利用する方法、もう1つは「ログのクラウド」を利用する方法です。ログのクラウドはサブスクリプション形式で運営されており、サイバー犯罪者は、複数のボットから収集されたログをTelegramなどのプラットフォームでまとめて購入することができます。Telegramのインターフェイスがユーザーフレンドリーであることに加え、提供されているログの豊富さ、情報窃取ツールやアクターの多様性が相乗効果を成し、いまやTelegramはログを売買する場として魅力と利便性が高まっています。  

KELAサイバーインテリジェンスセンター 一般的なRaaS（ランサムウエア・アズ・ア・サービス）プログラムの場合、被害者はRaaSの開発者や運営者が管理するウォレットに身代金を入金し、その後、アフィリエイトが分け前を受け取る仕組みになっています。しかし今年7月、KELAはRaaSプログラム「Qilin（別名Agenda）」を運営する脅威アクターが、「身代金はアフィリエイトのウォレットのみに入金される」と発表したことを確認しました。これは、被害者がQilinのアフィリエイトに身代金を支払った後で、その一部をアフィリエイトがQilinの運営者に支払うという仕組みを意味していると思われます。このアプローチはRaaSプログラムでは一般的ではないものの、LockBitが以前から導入していたことで知られています。

KELAサイバーインテリジェンスセンター 2023年7月6日、ランサムウエアグループ「Cyclops」が、新たなRaaSプログラム「Knight」を発表しました。Cyclopsのブログには「今週、新しい管理パネルとプログラムをリリースする」と記載されており、このメッセージは、同グループが使用しているランサムウエアの亜種とアフィリエイト用管理パネルが刷新されることを意味していると思われます。また最近同グループは、自らのRaaSプログラムを「アップグレードした」と発表し、新規のアフィリエイトを募集していました。CyclopsがRaaSを宣伝するスレッドの名称も、これまでの「Cyclops」から「Knight」に変更されています。

KELAサイバーインテリジェンスセンター 2023年6月末、ランサムウエア「Akira」の復号ツール(Windowsバージョン)がリリースされましたが、同グループの恐喝行為は現在も続いています。2023年7月、KELAは同グループの攻撃を受けたとされる組織が15に上ることを確認しました（この数字には報道などで公表された被害組織の他、Akiraとの身代金交渉中に我々が確認した被害組織を含みます）。

KELA脅威リサーチ部門ディレクター、ヴィクトリア・キヴィレヴィッチ 「Stormous」は、2021年から活動しているとされるデータリークグループです。同グループのデータリークサイトは長い間オフラインになっていましたが、この7月に再稼働しました！

過去数カ月の間、生成AIはその高い機能を理由に急激な人気を集めています。そして生成AIが様々な分野に導入され、また生成AIにまつわる誇大広告の数も増加するという現象は、いまや我々の世界のみならずサイバー犯罪業界にも及んでいます。 これまで、我々の世界を次のステージへと引き上げてくれる高機能な最先端テクノロジーが登場する度、悪人らは彼らなりの「特別な」活用方法を見つけ出してきました。そして今、サイバー犯罪者はマルウエアの開発をはじめとする悪意ある目的を達成したり、アンダーグラウンドのフォーラム運営のような日々の作業を処理するツールとして生成AIを活用し始めています。 今回のブログでは、サイバー犯罪者がChatGPTやその他のAIプラットフォームをどのように操り、情報窃取やサイバー攻撃の実行、日々の活動に悪用しているかについて詳述します。