ブログ

KELA脅威インテリジェンスアナリスト　　ヴィクトリア・キヴィレヴィッチ

かつて、アンダーグラウンドに広がるサイバー犯罪のエコシステムは、攻撃の最初から最後までの全プロセスを自らの手で実行するサイバー犯罪者達の住処となっていました。しかし、彼らが繰り広げていた「ワンマンショー」は今やサイバー犯罪業界から消滅しつつあり、その一方で、様々なニッチ領域を専門に手掛ける「専門職」とも呼べるサイバー犯罪者達がその存在感を高めつつあります。この変化は、今やサイバー犯罪業界の中で最も顕著なトレンドの一つであると言えるでしょう。例えば一般的なサイバー攻撃のプロセスを検証してみると、すべての攻撃者達が攻撃の各ステージを実行するだけのノウハウを、必ずしも持ち合わせているわけではないということがわかります。

• コーディング（必要な機能をコーディング、又は必要な機能を備えたマルウエアを入手）
• 拡散（標的とする被害者の感染）
• 抽出（感染した端末へのアクセス確保・維持）
• 収益化（攻撃による利益の獲得）

KELAサイバーインテリジェンスセンター

昨年は、初期アクセス・ブローカーらが多大な努力を払い、多数の成功を収めました。そしてそんな彼らの功績が、ランサムウェア・アフィリエイトやオペレーターらのネットワーク侵害におけるハードルを大きく引き下げたとして、初期アクセス・ブローカーに注目が集まりました。彼らは、アンダーグラウンドに形成されたサイバー犯罪のエコシステムの中で、さらに活発に活動を展開してその名を広め、人気を博しています。今回のブログでは、DARKBEASTを使うことによってそういった初期アクセス・ブローカー達の動きを監視し、彼らが実際に損害をもたらす前にその企みを阻止する手法についてご紹介します。

今回のブログでご紹介する手法は以下の通りです。

1. 注目すべき初期アクセス・ブローカーの商品をクリック一つで確認する方法
2. 複雑なクエリやメタデータ検索、ブール論理を使用して、初期アクセス・ブローカーや商品（ネットワークアクセス）を様々な切り口で調査する方法
3. 重要なクエリをサブスクリプションに登録し、条件にヒットする情報をリアルタイムで入手する方法
4. テキストを画像化してセキュリティ検知を回避しようとする初期アクセス・ブローカーの投稿を検知する方法
5. KELAの専門家が作成したフィニッシュド・インテリジェンスを活用して、様々なブローカーや商品についての背景情報が取り入れられたインサイトを閲覧する方法
6. DARKBEASTのAPIを利用して、現在使用しているツールで初期アクセス・ブローカーのデータを取得・分析する方法

KELA脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー シャロン・ビトン

サイバー犯罪社会かサーフェスウェブかにかかわらず、オンラインマーケットが廃業するというのはよくある出来事です。今、アンダーグラウンドのサイバー犯罪社会では、様々な理由によってマーケットが立て続けに閉鎖されており、閉鎖されたマーケットのユーザー達が、商品やサービスを売買できる次のマーケットを探し求めて活発な動きを見せています。KELAは、有名なカーディングマーケット「Joker’s Stash」が2021年2月15日をもって閉鎖するという重大発表を受け、様々なサイバー犯罪マーケットの閉鎖と、それらのマーケットを利用していたユーザー達が次にどこへ向かうのかについて理解を深めるべく、サイバー犯罪のアンダーグラウンドを調査しました。

今回の調査結果の重要なポイント:

• Joker’s Stashが閉鎖されたことを受けて、同マーケットのユーザーを取り込もうとしている４つのマーケットを特定しました。それぞれのマーケットが打ち出す広告とユーザー達の反応を見たところ、Joker’s Stash のユーザー達はBrian’s ClubやVclub、Yale Lodge、UniCCを新たな活動の場に選ぶと考えられます。
• 我々は、サイバー犯罪者達が一般社会のビジネスマンやマーケティング担当者と同じように、同業者の廃業に乗じて自らのサービスを宣伝し、そのユーザーを取り込もうとしている状況を観察しています。
• Joker’s Stash の閉鎖を受けて新たなマーケットを探しているカード情報ベンダー達を取り込むために、マーケットの管理者達がベンダーに課すライセンス費用を無料にするというトレンドが生まれていることを発見しました。
• IT・サイバーセキュリティを担当される皆様が脅威アクターらの信頼性を評価し、彼らの次の行動を予測して自らの組織をサイバー脅威から守るにあたり、まず脅威アクターらの動向と彼らのTTPを監視することが重要であると提言します。

KELA脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

アンダーグラウンドのフォーラムでは、日々多数の初期アクセスが売買されており、今ではランサムウェアオペレーターらが標的のネットワークに侵入するためのエントリポイントとしても、初期アクセスが利用されつつあります。KELAは、前回の分析「2020年9月に販売されたネットワークアクセス—KELAが見たその100件の詳細」に続いて、2020年第4四半期に販売されたすべてのネットワークアクセスを評価しました。

今回のブログでご説明する重要なポイントは以下の通りです。

• KELAは、2020年第4四半期に売り出された約250件の初期アクセス（希望販売価格の累計額は120万ドル超）を追跡しました。同四半期売り出されたアクセスの月平均件数は約80件となりました。
• KELAは、売り出されたネットワークアクセスのうち最低でも14%が、販売者であるアクターによって「売却済み」と記載されたことを確認しました。
• 同四半期の各月に売り出されたアクセスの件数は、いずれも9月の108件を下回っています。これについてKELAは、フォーラムで公開販売するよりも、非公開のメッセージを使って売り出す手口が増加したため、数字が若干減少したものと考えています。
• 高額な商品のリストと販売者のTTP（戦術、技術、手順）についてまとめてゆく中で、KELAは、アタックサーフェスが日々拡大しており、その一方で初期アクセス・ブローカーが新たな種類のアクセスを販売している状況を確認しました。しかしその一方で、RDPやVPNを利用したアクセスや脆弱性（特定の脆弱性を悪用してコードを実行することで、アクターらが標的の環境内でさらなる攻撃を実行することが可能となる）が、引き続き商品の主流を占めています。

プリセールス・エンジニア　アルモグ・ズースマン 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

ゲーム業界は、コロナウイルスの流行による恩恵を受けた業界の一つです。外出自粛が始まって以降、多くの人々が屋内で楽しめる趣味を模索する中、オンラインゲームに注目が集まっています。そしてゲームソフトやゲームアプリの購入数とプレイヤーの増加により、オンラインゲーム業界の収益は2022年までに1960憶ドルに達すると予想されています。しかし、このゲーム業界における著しい成長が、新たな標的を探すサイバー犯罪者らの関心を引き付けています。セキュリティ対策を、業界の発展や利益と同レベルにあるべき優先事項として扱っておらず、その上有望な前途が待ち受けている新興業界ほど、彼らにとって最適な標的は他にありません。つまりゲーム業界は、金融業界のように何兆ドルもの評価を受けているわけではありませんが、利益を重視するサイバー犯罪者の多くが重要なポイントとする「利益の増大」と「プロセスの簡素化」の２点をクリアしているのです。

コロナ禍においてゲーム業界を狙う脅威の勢力図を評価するにあたり、我々は大手ゲーム企業の従業員や社内システムを脅かす恐れのあるリスクについて調査を行いました。今回のブログの重要なポイントは、以下の通りです。

• KELAは、ゲーム会社のネットワーク（特に開発者用リソース）への初期アクセスに対する需要と供給について、複数の事例を確認しました。
• また、ゲーム会社の従業員及び顧客に関連するアカウント約100万件が侵害されており、うち半分が2020年中に売り出されていることを確認しました。
• さらに、大手ゲーム企業の従業員に関連する資格情報が50万件以上流出している状況を検出しました。
• ゲーム業界が成長するに伴い、同業界を狙う脅威の数も増加しています。ゲーム業界の企業は、サイバー犯罪コミュニティを積極的に監視して、価値あるインテリジェンスをリアルタイムで収集することにより、自らのアタックサーフェスを外部者の視点で確認し、サイバー犯罪者らのもたらす脅威を軽減することができるでしょう。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

KELAは、世界中でランサムウェア攻撃が増加の一途をたどる現状と、Pulse Secure社VPN製品の資格情報リストが流出した事件を背景に、最新の調査を行いました。すべてのランサムウェア攻撃で、CVE-2019-11510 （パッチ未適用のPulse Secure VPNサーバーに存在する脆弱性）や、過去に公開された企業のネットワーク資格情報が悪用されているわけではありませんが、今回の調査は、ランサムウェア攻撃に使われた可能性のある初期感染ベクトルを分析する際に、新たな視点を与えてくれる内容です。また先日も、脆弱なFortinet VPNの資格情報が5万件近く流出するという事件が発生しており、 ランサムウェア攻撃で狙われうる初期感染ベクトルについての懸念はますます高まっています。

今回私達が得た主な調査結果は、以下のとおりです。

• ランサムウェア攻撃の被害者となった5社が使用しているPulse Secure VPNサーバーの資格情報は、2020年8月に脅威アクターが公開したPulse SecureのVPNリスト（フォルダやファイル等のディレクトリ形式）の中に含まれていました。
• ランサムウェア集団は、身代金が確実に支払われるよう後押しするべく、被害者となった企業3社のデータを自らのブログで公開しました。KELAと脅威アクターの間で攻撃について交わされた会話から、少なくとも被害を受けた1社（企業名は不明）は身代金を支払っていることが判明しています。
• 攻撃に関与した脅威アクターは、少なくとも侵害したうち1社の初期アクセスは、CVE-2019-11510を利用したものであることを認めました。
• 企業のIT部門やサイバーセキュリティ部門が、自社ネットワークの安全を維持し、マルウェアをはじめとする高度な攻撃を阻止するにあたり、Pulse Secure VPNの資格情報などを含めたサイバー犯罪社会の脅威を積極的に監視することがその一助となります。

プロダクトマネージャー　ラビード・レイブ

サイバー犯罪の金融エコシステムは、アンダーグラウンドで新たに生まれる革新的なビジネスニーズに合わせて日々変化しています。データを買い求める者達は、大量のデータを最も簡単に、そして可能な限りスムーズに手に入れる方法を模索しており、その一方で脅威アクターらは彼らを支援するべく、嬉々としてマルウェア・アズ・ア・サービスから月次のサブスクリプションサービス、データ侵害にまで至るまで新たなサービスを生み出しています。

今回のブログでは、多くのコミュニティに定着しつつある興味深いトレンド、すなわちバンキング型トロイの木馬や情報窃取型マルウェアを使って窃取されたデータが、窃取したアクター達によって直接販売されており、さらには企業が主な標的となっている状況に焦点を当てました。窃取した資格情報を販売する方法には2パターンあり、サイバー犯罪コミュニティの脅威アクターらが直接データを販売するケースと、専門の自動売買マーケットを通じて販売するケースがあります。アクターらが、そういったデータ売買を通じて企業の資格情報を収益化しているという事実は、企業に対する脅威がますます高まりを見せていることを意味しますが、そういった取引が活発かつ堅調に行われているマーケットは、防衛する側の人間にとっては情報を収集する絶好の舞台であり、サイバー犯罪がどのように運営されているのかを直接目にすることのできるチャンスでもあります。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

サイバー攻撃の増加と2021年の東京オリンピック開催を受け、日本政府はサイバーセキュリティに関する取り組みへの投資を続けており、デジタル庁の創設もその取り組みの一つに挙げられます。同庁については、キャッシュレス決済サービスに紐づけられた日本の銀行口座から相次いで金銭が不正に引き出されるという最近の事件の後に、その創設が決定されました。この不正引き出し事件ではその手口として、侵害された銀行口座の資格情報やその他の攻撃ベクトルを悪用したブルートフォース攻撃が行われた可能性があります。しかし、最近KELAが行った調査によると、銀行のインフラに対する攻撃は日本の組織を標的とする脅威のほんの一端であり、我々は次のような攻撃についても確認しています。

• 漏えいデータ・不正侵入されたアカウント：我々は、日本の企業や政府、教育機関のデータがサイバー犯罪社会の中で活発に流通していると同時に、脅威アクターからの需要もあることを確認しました。攻撃者が標的とするネットワークへの初期アクセス（侵入地点等）を入手するために、漏えいデータや不正侵入されたアカウントを悪用する可能性があります。
• ネットワークへの初期アクセス：我々は、2020年6月から10月までの間に日本の企業や大学、某省庁をはじめとする複数の組織が不正にアクセスされていることを確認しました。攻撃者が初期アクセスを使ってネットワークに侵入し、最終的にランサムウェアを展開する可能性があります。
• ランサムウェア事件：我々は、2020年6月から10月までの間にランサムウェア攻撃を受けた日本の組織の数は少なくとも11に上ることを確認しました。被害者となったのは製造業界、建設業界、政府関連業界の企業であり、その企業規模は上位から順に年間収益1430億ドル、330億ドル、20億ドルとなっています。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃が増加する一方で、アンダーグラウンドのフォーラムで売買されるネットワークの初期アクセスの数も日々増加しており、もはや初期アクセスはランサムウェアオペレーターが最初の侵入地点として利用する選択肢の一つになりつつあります。KELAは、初期アクセス・ブローカーに関する調査を終えた後、初期アクセス売買活動の全体像を構築するため、2020年9月に売買されたアクセスの一部を分析しました。

重要なポイント

• ネットワークの初期アクセスとは、侵害された組織のコンピューターにリモートでアクセスする資格情報や権限、手段の総称です。そしてその初期アクセスを販売する脅威アクター、つまり初期アクセス・ブローカーは、日和見的なキャンペーンと標的型攻撃者であるランサムウェアオペレーターを結び付ける役割を果たしています。
• KELAは、2020年9月単月でネットワークの初期アクセスが100件以上売り出されたことを確認しました。これは、2020年8月と比較すると3倍の件数であり、希望販売価格の合計は50万ドルを超えています。
• 売り出されたアクセスのうち少なくとも23%については売買取引が成立しており、販売した脅威アクターらは合計で9万ドル近くを手に入れたことが報告されています。
• KELAは、最も高額なアクセス5件のリストを作成し、販売した脅威アクターらのTTPを調査する一方で、アクセスの販売価格は被害者の収益及びアクセスに付与された権限のレベルに連動するとの仮説を検証しました。ドメイン管理者レベルのアクセスの場合、ユーザーレベルのアクセスよりも25%から100%高額な価格で取引されている場合があります。
• 初期アクセス・ブローカーがサイバー犯罪コミュニティで繰り広げる活動は、脅威アクターらの内部事情を浮き彫りにする貴重な情報源です。ネットワークの防御を担当するIT・セキュリティ担当部門が脅威の情勢について理解を深め、それに応じた防衛メカニズムの優先順位付を行うためには、こういった情報を活用することが重要です。また、初期アクセス・ブローカーがネットワークへのアクセスをランサムウェア・アフィリエイトに引き渡すプロセスは実質的に2つのパターンがあります。脅威ハンティングや敵対的シミュレーションを行う上で、極めて重要な意味を持つTTPと言えるでしょう。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やサイバー犯罪サイトの投稿、会話を調査しました。