（注：本ブログはAIで翻訳しています）　

サイバー犯罪の世界において、最も深刻な脅威の一部は、表に出ることのない隠れた存在によってもたらされています。アクセスブローカーは、そうした裏方の重要な存在の一つであり、企業ネットワークへの侵入口を密かに確保し、売買しています。こうした地下活動は、多くのランサムウェア攻撃やその他のサイバー攻撃の土台となっており、企業が標的にされるハードルを著しく下げています。アクセスブローカーの影響力や、RaaS（Ransomware-as-a-Service）モデルとの関係性を理解することで、貴社が直面するリスクをより的確に把握することができます。

今回のブログでは、「アクセスブローカーとは何か？」を掘り下げ、RaaSモデルにおけるその役割を解説します。貴社の防御体制を強化するための実践的な知見をご提供します。

» 解決策を今すぐ知りたい方はこちら：KELAのサイバー脅威インテリジェンスソリューションを無料でお試しください。

サイバーセキュリティにおけるアクセスブローカーとは？

» 関連レポートはこちら：「そのデータ漏えい、本当に怖がる価値があるのでしょうか？」

アクセスブローカー、ランサムウェア運用者、データブローカー、マルウェア開発者の違い

» 関連レポートはこちら：「how ransomware operators gain access」

サイバー脅威インテリジェンス

脅威を検知して阻止する方法を学び、 アクセスブローカーが組織に被害をもたらす前に 先手を打ちましょう

お問い合わせはこちら



アクセスブローカーが初期アクセスを取得・検証する方法

アクセスブローカー（IAB）は、企業ネットワークへの不正アクセスを得るために、さまざまな手法を駆使しています。どの手法においても、得られたアクセスが実際に機能するものであり、買い手にとって価値があるかどうかを確認する検証ステップが含まれています。最も一般的な手口を以下に取りあげます。

1. ソフトウェアの脆弱性を悪用する

初期アクセスブローカーは、VPNアプライアンス、メールゲートウェイ、Webアプリケーション、ファイアウォールインターフェースなど、外部に公開されているシステムに対して未修正の脆弱性がないかを積極的にスキャンしています。

脆弱性が見つかると、それを悪用して侵入を試みます。この際には、**既知のCVE（Common Vulnerabilities and Exposures）**を利用して、シェルアクセスの取得や内部環境の可視化を狙います。検証プロセスでは、システム制御の確認、横展開の可能性の確認、バックドアやスケジュールタスクを通じた永続化の確保が行われます。また、買い手を惹きつけるために、スクリーンショットやディレクトリ構造、アクセス証明レポートなどを提供することもあります。これにより、提供するアクセスが信頼性と安定性を備えていることを証明します。

2. フィッシングとソーシャルエンジニアリング

初期アクセスブローカー（IAB）は、ITサポートやクラウドサービスを装った信頼性の高い送信元になりすまし、高度にターゲット化されたフィッシングメールやメッセージを作成します。これらは、従業員に対し、認証情報の入力やマルウェア付きの添付ファイル・リンクの実行を促す内容となっています。

アクセスを取得した後、ブローカーはWebポータルやVPNインターフェースなどを通じてログインの成功を確認します。多くの場合、セッションの永続性を確保し、MFA（多要素認証）の有無をテストします。MFAが有効な場合でも、トークンの窃取、セッションハイジャック、あるいはユーザーが繰り返し表示される認証プロンプトを誤って承認するといった手口で回避を試みます。認証情報が確認されると、それらはユーザーの権限レベルやドメインの関連性に基づいて分類され、市場に出品されます。

» 関連レポートはこちら：「how to prevent phishing attacks before they catch you

3. 盗まれた資格情報とクレデンシャル・スタッフィング

初期アクセスブローカー（IAB）は、過去のデータ漏えいから流出した大量の資格情報を収集したり、**情報窃取マルウェアのログ販売業者（stealer log vendors）**から購入したりします。これらのログには、ユーザー名、パスワード、クッキー、セッショントークンなどが含まれています。

ブローカーはクレデンシャル・スタッフィングツールを使って、これらの組み合わせを企業のログインポータルに対して自動的に試行します。主に、メールシステム、CitrixやVPNといったリモートアクセス用ポータル、クラウドアプリケーションへのアクセスを確認します。有効なログイン情報は、アクセス権限、ドメイン、部門ごとに分類されます。一部のブローカーはさらに、その資格情報で到達可能な内部システムをマッピングし、アクセスの価値を高めてから販売することもあります。



» 「漏えいした資格情報」と「不正アクセスされたアカウント情報」の違いを正しく理解しましょう。

4. ブルートフォース攻撃とパスワードスプレー

初期アクセスブローカーは、RDPやSSH、Webメールなどの外部に公開されたサービスに対して自動化ツールを使い、複数のアカウントに対して共通のパスワードを試す、または1つのアカウントに対して多数のパスワードを試すといった、ブルートフォース攻撃やパスワードスプレー攻撃を行います。

有効なログイン情報が見つかると、ブローカーは実際にログインして利用可能なサービスをマッピングし、アクセスが有効であることを確認します。多くの場合、組み込みツールを用いて権限の確認や、他の内部的な弱点の調査も行います。アクセスが成功した場合は、ローカルアカウントの追加、Webシェルの設置、リモートアクセスの永続化設定などにより、さらに侵害を拡大することがあります。

» 関連レポート：「ハッカーの「欲しいものリスト」：狙われる侵入ポイントトップ5 

頻繁に売買されるアクセスの種類

初期アクセスブローカーは、使いやすさ、攻撃者にとっての有用性、提供される制御レベルに基づいて、さまざまな種類のアクセスを販売しています。以下は、アンダーグラウンド市場で特によく見られるアクセス種別と、その理由や統計です。

1. リモートデスクトッププロトコル（RDP）アクセス

• 狙われた頻度：2023年に初期アクセスブローカーが売りに出した商品のうち、RDPアクセスが全体の60％超を占め、最も多く販売されていました。ただし、2024年には41％に減少し、代わってVPNアクセスや資格情報ベースのアクセスが増加しています。
• 理由：RDPはWindows環境に対する完全なグラフィカルアクセスを提供するため、低スキルの脅威アクターでも簡単に使用できる点が魅力です。また、多くの場合、適切な設定や多要素認証（MFA）が導入されておらず、脆弱な状態のままインターネット上に公開されています。

2. 仮想プライベートネットワーク（VPN）アクセス

• 狙われた頻度：VPNアクセスの出品は、2023年の33％から2024年には45％に急増しました。
• 理由：VPNの資格情報は、正規の手段で保護された環境へのアクセスを可能にします。これにより、目立たない偵察、横展開、検知の回避が容易になります。VPNアクセスはファイアウォールをバイパスすることも多く、攻撃者が通常のユーザートラフィックに紛れて行動することを可能にします。

3. Active Directory／ドメイン管理者（Domain Admin）アクセス

• 狙われた頻度：管理者権限を含むアクセスは非常に需要が高く、全体の47％の出品に該当すると報告されています。
• 理由：ドメイン管理者アクセスを得た攻撃者は、ユーザーアカウント、端末、サーバー全体を完全に制御することが可能になります。このアクセス権は、ランサムウェアの一斉展開、防御機能の無効化、機密データの持ち出しなどに多用されます。

» ご存じですか？ 最近ではランサムウェアグループがネットワークアクセス権そのものを販売しています。

4. Webシェル

• 頻度：Webシェルはアクセスブローカー（IAB）によって頻繁に販売されており、Group-IBの報告によると29万件以上のWebシェルがサイバー犯罪市場で取引されているとされています。
• 理由：Webシェルは、侵害されたWebサーバー上で持続的かつリモートでコマンドを実行できる手段を提供します。攻撃者はこれを利用して、横展開、データ窃取、マルウェアの展開などを行います。Webシェルは軽量でステルス性が高く、長期間にわたって再アクセスが容易であることから、高く評価されています。

5. 一般ユーザーの有効な資格情報

• 狙われた頻度：様々な資格情報が窃取されており、多くの場合、フィッシング攻撃や情報窃取マルウェア（のログ）が攻撃手法として使用されています。
• 理由：一般ユーザーの資格情報であっても、攻撃者にとっては初期の足がかりとなり得ます。このアクセスを利用して、ネットワーク内の偵察、権限昇格、比較的保護の弱いシステムやアプリケーションへのアクセスを試みることができます。特に、認証情報が機密性の高いアプリケーションに関連している場合は、より深刻な被害につながる可能性があります。

» 情報窃取マルウェアによるダメージを軽減する方法についてのレポート

ダークウェブ上でのアクセス販売を防止・検知するためのベストプラクティス

予防策

• 強固な認証とアクセス制御の導入： すべてのアカウントとサービスに対して多要素認証（MFA）を適用し、特にリモートアクセス（VPNやRDP）や特権アカウントには厳格な制御を徹底しましょう。また、ユーザー権限の定期的な監査を実施し、「最小権限の原則（PoLP）」に基づいて設定することで、アカウントが侵害された場合の被害範囲を最小限に抑えることが可能です。
• 脆弱性管理とパッチ適用の継続的な実施：ソフトウェア、アプリケーション、ネットワーク機器に対して継続的な脆弱性スキャンを実施し、発見された問題には迅速に対処しましょう。適切なパッチ管理は、アクセスブローカーが悪用し得る攻撃対象領域（アタックサーフェス）を大幅に削減します。
• 従業員のセキュリティ意識を高める：フィッシング、ソーシャルエンジニアリング、強固なパスワード運用に関する定期的なトレーニングを実施しましょう。セキュリティ意識の高い従業員は、アクセスブローカーが資格情報を取得するために用いる手口に対して、より高い防御力を持つことができます。

初期アクセスブローカー（IAB）に備えるための検知戦略

• ダークウェブの継続的な監視を実施する：フォーラム、マーケットプレイス、隠しサイトなどのダークウェブ上で、自社名、漏えいした資格情報、自社ネットワークへのアクセス提供に関する投稿がないかを積極的に監視しましょう。早期に発見することで、実害が発生する前に対処できます。
• 能動的な脅威ハンティングと異常検知を導入する：脅威ハンティングチームやUEBA（ユーザー・エンティティ行動分析）を活用し、アクセスブローカーによる初期侵入の兆候となる、通常と異なるログイン速度、デバイスフィンガープリントの不一致、意図しない横展開などの異常なパターンを特定します。
• EDRとSIEMの統合によって可視性を強化する：エンドポイント検知・対応（EDR）ソリューションを導入し、SIEM（セキュリティ情報イベント管理）と連携させましょう。これにより、エンドポイントとネットワークトラフィックの可視性が向上し、初期アクセスの試行や既に確立された足場を相関的に検知することが可能になります。

» 関連レポート：廃業するサイバー犯罪マーケット、ユーザー達が次に向かう先は？

3 初期アクセスブローカー（IAB）による侵害の内部指標

1. 異常なログイン活動の検知：通常とは異なるIPアドレスや地理的ロケーションからのログイン、不審な時間帯でのアクセス、多数のログイン失敗の後に成功するケースなどは、IABによる侵害の兆候である可能性があります。また、正規アカウントによる異常な操作や、通常アクセスしないリソースへのアクセスも、アカウント乗っ取りの可能性を示唆します。
2. 不審なアカウント作成の監視：IABは永続的なアクセスの維持や買い手の利便性確保のため、新たなローカルアカウントやドメインアカウントを作成することがあります。特に、権限が付与された不明なアカウントの作成は重大な警告サインです。
3. 異常なネットワークトラフィックの分析：説明のつかない外部へのデータ送信、既知のC2サーバーやTorノードへの接続、不審な内部スキャンやラテラルムーブメントの検出は、IABがアクセスの有効性を確認したり、販売前に利用している可能性を示しています。

» 関連レポート：組織がサイバー脅威インテリジェンスを導入すべき8つの理由

皆様が初期アクセスブローカーに先手を打つ一助として、弊社の専門知識をご活用ください。

初期アクセスブローカー（IAB）は、RaaS（Ransomware-as-a-Service）モデルにおいて重要な役割を担っており、彼らの活動を理解することは、組織をサイバー脅威から守る上で不可欠です。弊社は、ダークウェブ監視と脅威インテリジェンスに関する高度な専門知識を活用し、御社ネットワークへのアクセスが販売されようとする兆候を早期に検知します。脅威アクターの詳細なプロファイルと即時に対応可能なアラートを提供することで、迅速な検出と対応を支援します。

御社の外部リスクとアタックサーフェスを可視化することで、IABの活動を未然に防ぎ、高額な被害につながる侵害リスクを低減できます。また、脅威の戦術変化に関する最新情報を継続的に把握することで、防御策を先回りして強化することが可能になります。私たちは、進化し続けるサイバー犯罪の地下経済に対抗するため、御社のセキュリティ体制を共に強化します。



» 弊社の脅威インテリジェンス専門家との無料セッションをお試しください。