CYBER THREAT INTELLIGENCE BLOG

誰かに模倣されるということは、称賛の極みであるとも言われます。それが事実であるならば、最近ランサムウェア・アズ・ア・サービス（RaaS）オペレーターの中には、自分が称賛されたとご満悦になっている者もいるでしょう。 ランサムウェア攻撃がニュース記事の見出しを飾る一方で、その被害額は2031年には世界で2,310億ドルに上ると予想されています。またアンダーグラウンドでは、サイバー犯罪者が有名なサイバー犯罪グループの名声を利用して注目を集め、分け前にあずかろうと偽のオペレーションを次々と立ち上げています。

2024年2月16日、「I-S00N」という名称のレポジトリが「GitHub」にアップロードされました。レポジトリ内の記載によると、中国のサイバーセキュリティ関連企業「I-Soon（安洵信息技术有限公司／i-soon[.]net）」社の内部情報を流出する目的で公開されたということです。そして実際、そして実際、これらのファイルは同社の製品（スパイウェアや攻撃ツール）やサービスに関する文書が含まれていました。一方AP通信の報道によると、それらのデータについてはI-Soon社の従業員2人が同社から流出したものであることを認めたということです。しかし、誰がどのような方法でこのレポジトリを公開したかについては、現在も明らかになっておりません。 今回のブログでは、KELAが同レポジトリのデータを入手・分析して得た洞察の中でも、特に興味深いトピック（流出したデータの構造、I-Soon社の顧客および想定される標的、同社とAPTのつながり、ゼロディ脆弱性に関する議論など）を取りあげて解説します。

ロシアによるウクライナ侵攻がはじまって2年が経過しました。この戦争では、地上のみならずサイバー空間でも戦闘が繰り広げられています。ロシアの国家支援を受けたAPTグループが、ウクライナの政府機関や電気通信会社などの組織を標的にする事例が観察されている一方で、ウクライナ政府がロシアの組織を攻撃したと主張した事例も観察されています。

昨年10月に発生したOkta社のインシデントを覚えていますか？その後事態は落ち着き、最終調査報告書が提出されました。しかしCloudflare社の方は、問題がそこで終わることはありませんでした。攻撃者が、侵害したOkta社のセッションを悪用してCloudflare社のシステムにアクセスしたのです。この事態により、これまでセキュリティのベストプラクティスと考えられてきた対策に重大な疑問が生じることとなりました。

現状に甘んじていては、次の成功を手にすることはできない—大きな成長と成果の実現を後押しするこのアドバイスは、誰にとっても意味があると言えるでしょう。たとえ皆さんがランサムウェアグループやデータリークグループであったとしてもです。

もし誰かが私たちに、「漏えいした資格情報」と「不正アクセスされたアカウント情報」の違いを尋ねるたびに１セントをもらえたとしたら、近いうちに袋入りのオレオを買って同僚たちにご馳走できる日が来たことでしょう。 なぜ、「漏えいした資格情報」と「不正アクセスされたアカウント情報」の違いが重要となるのでしょうか？米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）によると、サイバー攻撃の54％で有効なアカウントが悪用されていたということです。つまり、「漏えいした資格情報」と「不正アクセスされたアカウント情報」がもたらすリスクを理解することこそが、サイバー攻撃を防ぐうえで重要になるのです。 今回のブログでは、「漏えいした資格情報」と「不正アクセスされたアカウント」を取りあげ、脅威アクターがそれらの情報をどのように入手しているのかを解説します。また、セキュリティ上の弱点についても取りあげ、皆様が自組織を防御するにあたって取るべき対応を提言します。

アヒルのように見える生き物が、アヒルのように歩いていたら…。皆さんがそれをアヒルと判断する前に、まずもう少し詳細を確認する必要があります。2023年10月頃、Hunters Internationalはランサムウェアグループ「Hive」のリブランドであろうと考えられていましたが、その見解が間違っていたことが後に判明しました。この事例は、目で見たものをそのまま信じる前に、その詳細を確認することがこれまで以上に重要になっていることを浮き彫りにしています。

一部の脅威アクターは年末年始の休暇を楽しんでいると思われ、昨年の大晦日は、KELAの監視活動においてもランサムウェア攻撃の被害組織は確認されませんでした。しかし、この小康状態もそう長くは続かないものと思われます。2024年のサイバー攻撃が本格化するに先立ち、今回のブログでは、我々が予測する今年のサイバー犯罪トレンドについて詳述します。

過去数カ月にわたり、宿泊施設所有者（ホテルや住宅所有者）の資格情報を悪用したフィッシングキャンペーンが複数確認されています。それらのキャンペーンで観察された興味深い点として、その多くが侵害した（宿泊施設所有者の）資格情報を悪用してBooking.comのチャット機能を利用し、フィッシングメッセージを送信していたことが挙げられます。観察された各事例では、攻撃者がホテルの従業員になりすまして偽のメッセージを送信し、クレジットカード情報を窃取するフィッシングページに被害者を誘導していました。

2023年が終わりに近づく一方で、イスラエル・ハマス間の紛争とそれに伴うサイバー攻撃は依然激化しています。この紛争が勃発して以降これまでの間に、KELAはお客様やパートナー企業の皆様から数々のご質問をいただきました。今回のブログではそれらご質問のうち5つを取りあげ、物理的な戦争が発生した際、サイバーセキュリティに生じる影響について解説します。