（注：本ブログはAIで翻訳しています）

430万台を超える端末が感染し、流出した資格情報は５０億件近くにのぼります。情報窃取マルウェアは、クラウドプラットフォームやメール、リモートツール、さらには企業ネットワークへのログイン情報を大量に窃取し、ダークウェブ上のマーケットに流通させています。サイバー犯罪者にとっては理想的な状況ですが、備えのない組織にとっては深刻な脅威となりかねません。

こうした侵害は単発的な事件ではなく、産業化されたサイバー犯罪エコシステムの一端を示す兆候です。脅威アクターは偶発的に行動しているわけではなく、アクセス権、ツール、インテリジェンスを購入して計画的に攻撃を仕掛けています。だからこそ、脅威インテリジェンスはもはや贅沢品でも、限られた領域の話でもありません。ランサムウェア対策、アカウント乗っ取りの防止、サードパーティリスクの調査など、あらゆるセキュリティ対策の基盤となるものです。リアルタイムで文脈を伴った脅威インテリジェンスへのアクセスこそが、被害の後に対応するチームと、事前に備えて被害を防ぐチームとの違いを生みます。

脅威インテリジェンスは、セキュリティチームが被害が発生する前に脅威を検知・分析・対応する力を与えます。本ブログでは、脅威インテリジェンスとは何か、なぜそれが重要なのか、そしてKELAがどのように実効性のあるインテリジェンスを提供しているのかについて解説します。

脅威インテリジェンスの定義

Gartner®による定義では、「セキュリティ脅威インテリジェンス製品およびサービス」とは、サイバー脅威、脅威アクター、その他サイバーセキュリティに関連する問題に関する知識（文脈、仕組み、インジケーター、影響、行動指針）、情報、データを提供する製品およびサービスの総称を指します。これらの製品・サービスが提供する成果物は、脅威の主体、動機、特徴、手口に関する情報、すなわち「戦術・技術・手順（TTPs）」の把握や整理を支援することを目的としています。最終的には、より適切な意思決定を可能にし、セキュリティ技術の能力を強化することで、将来的な侵害の可能性や影響を低減することが意図されています。

なぜ脅威インテリジェンスプラットフォームが不可欠なのか

情報窃取マルウェアの蔓延

情報窃取マルウェアは、感染したシステムから機密情報を密かに収集する深刻な脅威として浮上しています。KELAが確認したところ、2024年だけでも情報窃取マルウェアの活動は266%増加しました。攻撃者は、こうして入手した資格情報を利用して、巧妙なランサムウェア攻撃や大規模な情報漏えいを引き起こしています。中でも、「Lumma」「StealC」「Redline」という3つのマルウェアファミリーだけで、全体の75%の感染を占めていました。

窃取された資格情報は、サイバー犯罪フォーラムで販売されることが多く、脅威アクターが企業ネットワークに容易にアクセスできる手段となっています。実際にKELAは、Change Healthcareが保有するリソースへのアクセス情報が、情報窃取マルウェアを通じて侵害され、その後サイバー犯罪プラットフォーム上で販売または流出していた複数の事例を確認しています。これらの情報は、後続のランサムウェア攻撃を容易にする可能性があります。

初期アクセスブローカー（IAB）

初期アクセスブローカー（IAB）は、サイバー犯罪エコシステムにおいて重要な役割を果たしています。彼らは、不正に取得したネットワークへのアクセスをランサムウェアグループなどに販売することで収益を得ています。こうしたブローカーは、脆弱性の悪用、盗まれた資格情報の使用、あるいはフィッシングキャンペーンの実行などを通じて企業ネットワークへ侵入し、そのアクセスを他の脅威アクターに提供します。

2024年に確認された最近の事例では、新たに出現したランサムウェア「Ymir」が、情報窃取マルウェア「RustyStealer」を介して得られた初期アクセスの後に展開されました。RustyStealerは資格情報を窃取し、PowerShellやWinRMといったツールを使って被害者ネットワーク内での横展開を可能にしていました。攻撃者がネットワーク上の制御権を確立した後、Ymirランサムウェアが展開されましたが、このマルウェアはメモリ上で完全に実行されるよう設計されており、検知回避に特化しています。

この攻撃の一連の流れは、情報窃取マルウェアを活用した初期アクセスへの依存度が高まっていることを示しています。脅威アクターは、まず資格情報を盗むことで足がかりを得たうえで、そのアクセスを他の攻撃者に引き渡すか、自ら本格的なランサムウェア攻撃へと移行しています。

ランサムウェア攻撃

ランサムウェア攻撃は、単にデータを暗号化するだけでなく、機密情報の公開を脅迫材料として用いる高度な作戦へと進化しています。KELAの観測によると、2023年5月から2024年5月の間に、ランサムウェアや恐喝行為の被害に遭った組織は5,000件を超えました。被害の多くは、米国、英国、カナダ、ドイツ、フランスの組織に集中しています。

代表的な事例として挙げられるのが、2023年12月にAkiraランサムウェアグループがオーストラリアの日産自動車（Nissan Australia）を標的にした攻撃です。Akiraは、同社から100GBのデータを窃取したと主張しました。2024年3月には、日産側も約10万人に影響が及び、各種政府発行の本人確認書類が流出した可能性があると認めています。KELAの調査によれば、Akiraは不正に入手されたVPN認証情報を通じて初期アクセスを購入する傾向があり、今回の侵害も同様の手口で行われた可能性があります。

もうひとつの注目すべき事例は、2024年2月に発生した、Black Bastaによるオーストラリアのテクノロジー企業ZircoDATAへの攻撃です。この攻撃の直前には、同社のリモートデスクトッププロトコル（RDP）アクセス情報が脅威アクターによって販売されており、それが侵入の契機となった可能性があります。この攻撃では、Monash Medical CenterやMelbourne Polytechnicに関する機密文書を含む、合計395GBのデータが窃取されました。

KELAプラットフォームの強み

KELAは、情報窃取マルウェアの蔓延によって加速するランサムウェア攻撃への対策として、実用的なインサイトを提供するサイバー犯罪脅威インテリジェンスソリューションを展開しています。KELAのプラットフォームは、サイバー犯罪関連のソースや脅威アクターの通信、その他のインテリジェンスリソースを継続的に監視することで、組織が脅威を早期に検知し、能動的に対処できる体制を支援します。

KELAプラットフォームの主な機能

• 完全な可視化：組織が保有するすべての露出資産とその脆弱性を包括的に把握可能です。
• 早期検知：侵害された端末や有効なアカウント、サービスを早期に検出し、攻撃の源を遮断します。
• ブランド保護：フィッシングドメインや、SNS上のなりすましアカウントを迅速に特定・削除できます。
• サードパーティリスクの低減：攻撃者に悪用される前に、取引先やパートナーに関する脆弱性、情報漏えい、脅威を特定します。
• ダークウェブ監視：アクセス困難なダークウェブソースや閉鎖型フォーラムから重要なインサイトを取得し、調査を迅速化し、サイバー犯罪者に対する証拠構築を支援します。
• 自動化と統合：侵害された資産の隔離やアカウントの一時停止を自動で実行し、既存のSOCツールとの統合も無償で対応可能です。
• 常時稼働型の自律的サイバー防御：KELA独自の脅威インテリジェンスデータレイクと専門的な分析手法をもとに訓練されたデジタルサイバーアナリストが、24時間体制で脅威に対応します。

KELAのサイバー脅威インテリジェンスプラットフォームは、2025年6月16日時点でGartner Peer Insights™において、5/5の評価を獲得しており、過去12か月間で18件のレビューに基づいています。KELAの顧客からのフィードバックは、価値あるデータの提供、サイバー犯罪地下市場への深いアクセス、そして優れたカスタマーサポートに対する高い評価を示しています。以下に、直近の注目すべきハイライトをいくつかご紹介します。

  KELAのようなプラットフォームは、脅威に対する実用的なインサイトを提供し、攻撃の早期検知とインシデント対応能力を強化することで、現代のサイバーセキュリティ戦略において極めて重要な役割を担っています。KELAのプラットフォームの詳細と、全サイバー攻撃の最大96%の原因を未然に防ぐ方法について、ぜひご確認ください。

GartnerおよびPeer Insightsは、Gartner, Inc.またはその関連会社の商標です。無断転載・複製を禁じます。すべての権利はGartner, Inc.またはその関連会社に帰属します。 Gartner Peer Insightsに掲載された内容は、個々のエンドユーザーによる実体験に基づく意見であり、事実として解釈されるべきものではありません。また、Gartnerまたはその関連会社の見解を表すものでもありません。Gartnerは、本コンテンツに記載されているベンダー、製品、サービスを支持しておらず、本コンテンツの正確性または完全性、特定の目的への適合性について、明示または黙示を問わずいかなる保証も行っておりません。