CYBER THREAT INTELLIGENCE BLOG

「GDPR当局は、我々の関係をどう思うだろうかね？」―2023年8月に登場したデータリークグループ「RansomedVC」は、自らのブログで被害組織にこう語りかけていました。同グループがGDPR（EU一般データ保護規則）を攻撃に利用していたことが発覚した当時は、それほど一般的に用いられている手口ではないと考えられていたこともあり、またたく間に話題となりました。しかし実際には、すでに多くの攻撃グループが自らのブログや身代金要求メモでRansomedVCと同様の手口を使用しており、彼らもGDPRの名を出して欧州の被害組織にプレッシャーを与え、金銭を支払わせようとしています。今回のレポートでは、GDPRを恐喝に利用している攻撃者について考察します。

2023年8月、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、2022年に頻繁に悪用された脆弱性のリストを公開しました。このリストに掲載されている脆弱性は、いずれも2018～2022年にかけて公開されたものです。KELAがサイバー犯罪社会でこれらの脆弱性に関する投稿を調査した結果、特に以下の脆弱性が頻繁に話題に上っていることが判明しました。 Microsoft Exchange サーバーに影響を及ぼす脆弱性「ProxyShell」 （CVE-2021-34473、CVE-2021-34523、CVE-2021-31207） Fortinet社製「FortiOS」に影響を及ぼす脆弱性（CVE-2018-13379） Microsoft Support Diagnostic Tool（MSDT） に影響を及ぼす脆弱性「Follina」 （CVE-2022-30190） 今回のレポートでは、脅威アクターが脆弱なインスタンスを特定して悪用するコツやツールを公開している様子の他、上記の脆弱性の影響を受ける企業のネットワークアクセスを販売したり、パッチの回避方法を公開している様子をご報告します。

Okta社、Uber社、EA Games社の共通点とは何でしょうか？ 答えは、いずれの企業も侵害された従業員の資格情報に端を発したサイバー攻撃の被害組織であるということです。サイバー犯罪の情勢が常に変化する中、脅威アクターらは従業員の資格情報をはじめ、企業の機密データを入手する新たな方法を次々に発見しています。また彼らが従業員の資格情報を入手する際には、情報窃取マルウエアを使用したり、ボットマーケットやTelegramチャンネルでボット（すでに情報窃取マルウエアに感染した端末）を購入するパターンが最も一般的となっています。 先日、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、政府機関や重要インフラストラクチャを標的としたサイバー攻撃のうち、侵害された資格情報を悪用した事例が半分以上を占めていたことを公表しました。これは、サイバー犯罪者が従業員の資格情報や、初期設定の管理者用資格情報を悪用していることを意味しています。組織で使用されているログイン資格情報は無料で公開されている場合もあれば、マーケット等で販売されている場合もあり、脅威アクターはいずれかの方法でログイン資格情報を入手し、重要な資産としてフィッシング攻撃からランサムウエア攻撃にいたるまで、様々なキャンペーンに利用しています。 今回のブログでは、資格情報を入手する方法を2つ取り上げてその違いを検証します。1つは個別にボットを購入できるマーケット（「Russian Market」や「Genesis」、「TwoEasy」など）を利用する方法、もう1つは「ログのクラウド」を利用する方法です。ログのクラウドはサブスクリプション形式で運営されており、サイバー犯罪者は、複数のボットから収集されたログをTelegramなどのプラットフォームでまとめて購入することができます。Telegramのインターフェイスがユーザーフレンドリーであることに加え、提供されているログの豊富さ、情報窃取ツールやアクターの多様性が相乗効果を成し、いまやTelegramはログを売買する場として魅力と利便性が高まっています。  

KELAサイバーインテリジェンスセンター 一般的なRaaS（ランサムウエア・アズ・ア・サービス）プログラムの場合、被害者はRaaSの開発者や運営者が管理するウォレットに身代金を入金し、その後、アフィリエイトが分け前を受け取る仕組みになっています。しかし今年7月、KELAはRaaSプログラム「Qilin（別名Agenda）」を運営する脅威アクターが、「身代金はアフィリエイトのウォレットのみに入金される」と発表したことを確認しました。これは、被害者がQilinのアフィリエイトに身代金を支払った後で、その一部をアフィリエイトがQilinの運営者に支払うという仕組みを意味していると思われます。このアプローチはRaaSプログラムでは一般的ではないものの、LockBitが以前から導入していたことで知られています。

KELAサイバーインテリジェンスセンター 2023年7月6日、ランサムウエアグループ「Cyclops」が、新たなRaaSプログラム「Knight」を発表しました。Cyclopsのブログには「今週、新しい管理パネルとプログラムをリリースする」と記載されており、このメッセージは、同グループが使用しているランサムウエアの亜種とアフィリエイト用管理パネルが刷新されることを意味していると思われます。また最近同グループは、自らのRaaSプログラムを「アップグレードした」と発表し、新規のアフィリエイトを募集していました。CyclopsがRaaSを宣伝するスレッドの名称も、これまでの「Cyclops」から「Knight」に変更されています。

KELAサイバーインテリジェンスセンター 2023年6月末、ランサムウエア「Akira」の復号ツール(Windowsバージョン)がリリースされましたが、同グループの恐喝行為は現在も続いています。2023年7月、KELAは同グループの攻撃を受けたとされる組織が15に上ることを確認しました（この数字には報道などで公表された被害組織の他、Akiraとの身代金交渉中に我々が確認した被害組織を含みます）。

KELA脅威リサーチ部門ディレクター、ヴィクトリア・キヴィレヴィッチ 「Stormous」は、2021年から活動しているとされるデータリークグループです。同グループのデータリークサイトは長い間オフラインになっていましたが、この7月に再稼働しました！

過去数カ月の間、生成AIはその高い機能を理由に急激な人気を集めています。そして生成AIが様々な分野に導入され、また生成AIにまつわる誇大広告の数も増加するという現象は、いまや我々の世界のみならずサイバー犯罪業界にも及んでいます。 これまで、我々の世界を次のステージへと引き上げてくれる高機能な最先端テクノロジーが登場する度、悪人らは彼らなりの「特別な」活用方法を見つけ出してきました。そして今、サイバー犯罪者はマルウエアの開発をはじめとする悪意ある目的を達成したり、アンダーグラウンドのフォーラム運営のような日々の作業を処理するツールとして生成AIを活用し始めています。 今回のブログでは、サイバー犯罪者がChatGPTやその他のAIプラットフォームをどのように操り、情報窃取やサイバー攻撃の実行、日々の活動に悪用しているかについて詳述します。

2023年5月29日、ハッカーフォーラム「RaidForums」のユーザー約47万9,000人分の情報を含んだデータベースが、新たに立ち上げられたフォーラム「Exposed」に流出しました。RaidForumsは、不正アクセスの被害者となった組織から窃取されたデータを売買・公開・ホスティングする場として知られていましたが、法執行機関により押収され、閉鎖されました。その後、同フォーラムのユーザーは新たに立ち上げられたフォーラム「Breached（BreachForums）」に活動の場を移しましたが、そのBreachedも創設者であった人物の逮捕を受け、先日法執行機関により押収されることとなりました。 そして2023年5月、Breachedの後継になりうる場としてExposedが立ち上げられました。ただしExposedの所有者「Impotent」は、RaidForumsやBreachedの所有者とは関連の無い人物であると思われます。このImpotentこそがRaidForumsのデータベースを公開した人物でしたが、Impotentはこのデータベースの出所は不明であると語っており、他のサイバー犯罪コミュニティで活動しているユーザーも、RaidForumsの閉鎖後は法執行機関だけが同フォーラムのデータにアクセスできたのであれば、どのような経緯でデータベースが流出したのかと疑問を持っています。またその一方で、ExposedはRaidForumsのデータベースをマーケティングツールとして活用しており、新規ユーザーになってデータベースをダウンロードするよう呼びかけるバナーを掲げています（注：50ユーロを支払って上位ユーザーになると、同データベースをダウンロードするリンクが提供されます）。実際、このデータベースがExposedに流出して2日後には、同フォーラムのユーザー数が流出前日（5月28日）時点の約900人から3,200人超と3倍強にまで増加しました。 今回のレポートでは、我々がこのデータベースをインデックス化し、調査して得られた考察を詳述します。このデータベースはKELAのプラットフォームでもご確認いただけます（こちらのクエリをご利用ください）。今回流出したデータには、2015年3月から2020年9月にかけてRaidForumsでユーザー登録を行ったユーザーの電子メールアドレス、フォーラムで使用していたユーザー名、インスタントメッセージサービスで使用しているユーザー名、使用言語、IPアドレス、生年月日、フォーラムでの活動履歴、ログインキー、ソルトでハッシュ化したパスワードなどが含まれていました。 また、このデータベースを公開したImpotentの説明に記載されていたとおり、一部のユーザーに関する情報はデータベースから削除されていました。

脅威インテリジェンスアナリスト　ヤエル・キション   マネージドサービスプロバイダー（MSP）やマネージドセキュリティサービスプロバイダー（MSSP）は、多岐にわたるITサービスや円滑な事業運営に必要なサポートを提供しており、いまや多くの企業にとって重要な役割を果たしています。しかし同時に、1社を侵害してその資産を侵害するにとどまらず、潜在的被害者の数を増やすべく第三者も幅広く標的にしようと目論むサイバー犯罪者にとって、MSPは魅力的な標的となっています。本ブログでは、MSPやIT企業を標的とするサイバー犯罪エコシステムで活動する脅威アクターが、現在関心を寄せているトピックについて解説します。サイバー犯罪フォーラムでネットワークのアクセスを販売する脅威アクター（初期アクセスブローカー）は、積極的にMSPを侵害しているようです。「ネットワークアクセス」とは、様々な侵入ベクトルやアクセス権限、エントリポイントを指す広義な用語です。ネットワークアクセスとして売り出される「商品」としては、SQLインジェクション、リモートデスクトッププロトコル（RDP）の資格情報、管理者権限へ特権昇格する方法などが挙げられます。これらのネットワークアクセスが売り出された場合、まずネットワークの初期エントリポイントとして利用され、またその後は他のサイバー犯罪者によってさらなる攻撃に悪用される可能性があります。最も多く売り出されている商品の種類としては、RDPやVPNを介したアクセスが挙げられます。一方、それら商品を購入する側の脅威アクターも、地理や業界、収益などの属性を基に自らの理想とする被害組織の条件を定義しています。