ブログ

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やダークネットの投稿、会話を調査しました。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

2020年10月8日更新情報：ゾーホー社の声明を掲載

• 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM（リモート監視・管理ツール）が実入りのよい標的となっています。
• KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。
• 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

2020年10月8日更新情報：ゾーホー社の声明を掲載

• 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM（リモート監視・管理ツール）が実入りのよい標的となっています。
• KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。
• 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン

2020年度の新学期の準備はこれまでとは異なり、世界中の生徒達は同級生とオンラインで再会するために準備を整えています。従来、新学期の準備といえば登校初日に向けてお洒落な文房具を購入したり、完璧な服を準備する等が挙げられますが、今学期の準備においては皆、家庭で快適にオンライン学習を行うための環境整備に投資しています。その一方で、新学期がリモート体制で始まることを受け、学校のIT担当者らは生徒や職員に対するサイバーセキュリティ教育を今年最大の関心事項として扱うとともに、教育機関を攻撃しようと狙うサイバー犯罪者らの脅威を阻止することに重点を置いています。

前回のブログ「教育セクターにおけるサイバー犯罪の増加」では、教育セクターの組織を狙う脅威アクターらの全体的な関心について調査するとともに、我々がアンダーグラウンドのエコシステムで確認した未遂の攻撃事例を数件取り上げました。また、教育機関を標的とする脅威のレベルについて、一般的な理解を確立するための重要なポイントにも言及しました。そして今回私達は、世界中の学校が授業を再開するに伴ってリスクが増加していることを受け、再びこのテーマを取り上げることにしました。

学校は、現在新型コロナウイルスの感染者数増加に対応するべく苦戦を強いられていますが、今度は新学期初日からリモート体制で使用するオンライン学習プラットフォームを、サイバー攻撃などの事件から守るべく戦わなければなりません。そして、まさにそういった状況を体現したともいえる事件が、フロリダ最大学区の公立学校で発生しました。犯人は16歳の学生であり、アンダーグラウンドの世界でいえば初心者レベルの脅威アクターです。年若い初心者レベルの脅威アクターが大規模な学校への攻撃を成功裏に治めたという今回の事件は、より洗練された経験豊富な脅威アクターも攻撃を計画し、実行に移す可能性があることを示唆しています。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

現在、ランサムウェア攻撃に対する身代金の平均支払額は178,254ドル相当であり、2020年第一四半期の平均支払額から60パーセント増加しています。また。身代金の支払総額も増加しており、その要因として、ランサムウェアオペレーターの攻撃件数自体が増加していることに加え、彼らが被害者を脅迫し、悪意ある活動を収益化する手法を新たに開発していることが挙げられます。彼らの新たなTTP（戦術、技術、手順）には以下の活動が含まれています。

• データの窃取と身代金の要求
• 他のランサムウェア組織との協働
• 窃取データを使った他の被害者への攻撃
• 窃取データのオークション販売
• 報道機関や被害者のパートナー企業、顧客に対する情報漏えいの通知
• クレジットカード情報の窃取

MazeやSodinokibi （REvil）などの悪名高いランサムウェア犯罪集団はもとより、知名度が低く二番手といえるNetwalker、Ragnar Locker、Akoやその他の集団も新たな戦術を採用しています。

KELAは、これらランサムウェア集団のブログを定期的に監視しており、毎週新たに10から20の被害者（企業、組織等含む）が掲載されていることを確認していますが、彼らは身代金を支払わなかった被害者だけをブログに掲載しているため、実際の被害者の数はさらに多いであろうことがうかがえます。また、サイバー犯罪者らと連携した結果、ブログに掲載されなかった被害者も存在します。

次のセクションでは、より多くの利益獲得を狙うにあたって、ランサムウェアオペレーターがどのように自らのスキームを多様化し、被害者に対する脅迫行為に関連した「マーケティング活動」を実施しているのかに焦点を当てます。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ

• 先日ZDNetは、サイバー犯罪コミュニティに投稿されたリーク情報について独占記事を掲載しました。リークされた情報には、脅威アクターが窃取したエンタープライズ用Secure Pulseサーバー900台以上に関する詳細情報と資格情報が含まれていました。
• 今回リークされた情報は、いかにランサムウェアのリスクが拡大しているかを物語っています。KELAはそのリークの内容、リーク事件の発端を作った脅威アクター、リーク情報の流布に関与した脅威アクターについて深く掘り下げて調査を行いました。
• 今回の短期的調査では、中間層に属するサイバー犯罪アクターである初期アクセス・ブローカーに焦点を置きました。彼らは、様々なソースからネットワークへの初期アクセスを入手して選別し、より大規模なネットワークアクセスに育て上げた後、それらのアクセスをランサムウェア・アフェリエイトに販売することを専門として活動しています。
• アフェリエイト型ランサムウェアのネットワークが人気を集め、巨大企業はもとより規模の小さな企業にも影響が及ぶ中で、初期アクセス・ブローカーはアフェリエイト型ランサムウェアのサプライチェーンの中で急速に重要な存在となりつつあります。
• 今回リークされたリストは、サイバー犯罪フォーラムを利用する複数の初期アクセス・ブローカーの間で回覧されていたと思われます。そして今回、彼らのようなアクターをプロとはみなさないLockBitのアフェリエイトがリストを公開しました。
• 今回のレポートでは、サイバー犯罪コミュニティで交わされている幅広い情報をご紹介するとともに、サイバーインテリジェンスの専門家の視点から、的を絞ってスケーラブルにアンダーグラウンドのコミュニティを監視することの重要性をお伝えします。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン

この3件は、過去2か月の間に教育セクターで発生した主要なサイバー犯罪の見出しです。

大学のデータ　Blackbaudへのランサムウェア攻撃により損失

カリフォルニア大学　ランサムウェア攻撃を受け身代金100万ドルを支払い

ヨーク大学　データ侵害により職員及び生徒の情報が盗まれたことを公表

これらは氷山の一角であり、この一年間でサイバー攻撃を受けた教育機関の数は増加傾向にあります。K-12 Cyber Incident Map (全米の公立幼稚園～高校で報告されたサイバーセキュリティ関連インシデントを可視化した資料)によると、2019年だけで348校がサイバー攻撃を受けています。これは米国の学校（大学を除く）のみを対象とした数値ですが、その数は今後ますます増加することが予想されます。

こういった状況から、以下の疑問が浮かび上がってきます。

• アンダーグラウンドの脅威アクター達は、教育セクターの組織を調査し攻撃の標的とすることに関心を持っているのか？
• 教育セクターを標的とする攻撃の種類は？
• アンダーグラウンドのエコシステムで最近未遂に終わった攻撃は？
• 未遂に終わった攻撃は、大学そのものを狙った標的型攻撃であったのか？それとも大学が利用するサードパーティ・プロバイダーを介してさらにその先にある組織を狙った攻撃であったのか？

我々は、このブログ全体を通じてこれらの問いに対する答えを明らかにしていきます。

プロダクトマネージャー　ラビード・レイブ

リモートアクセスマーケットとは、攻撃者が侵害したウェブサイトやサービスへのアクセス認証情報を自動売買する市場です。そしてその手軽さゆえに、攻撃者にとっては絶え間なく生成される大量のビジネスチャンスをいつでも購入できる場所となっています。組織のネットワークへのアクセスをサービスとして購入できるということは、不正行為に必要な技術的ハードルが下がるということであり、その結果、組織がランサムウェア攻撃やカードスキミングなど、一連のオンラインの脅威にさらされるということにつながります。

今回のブログでは、KELAが追跡・監視しているリモートアクセスマーケットでも、特に有名な存在となっている「MagBo」について考察します。MagBoは様々な点でその独自性を打ち出していますが、なかでも取り扱い商品数が大きいことが特徴といえるでしょう。同マーケットは2年にわたるその操業期間において、侵害したウェブサイト約150,000件へのアクセス（その大半は侵害したサーバーにインストールしたWebシェルマルウェアへのアクセス）を売買しており、そのなかには世界中の金融機関、政府組織、重要インフラストラクチャーのウェブサイトも含まれていました。KELAは、MagBoやその他のリモートアクセスマーケットについての洞察を得ることが、防御する側にとって極めて重要なインテリジェンスフィードになると提言します。

プロダクトマネージャー　ラビード・レイブ

• 一部報道では、先週発生したTwitterアカウントの乗っ取りは、Twitter の社内Slackの資格情報を窃取した攻撃者によって行われたものと発表しています――実際には、攻撃者はSlackを同社ネットワークに侵入するための初期アクセスとして利用していました。
• アンダーグラウンドのサイバー犯罪マーケットでは1万2000件を超えるSlackの資格情報が販売されており、数千もの組織にとって明らかな脅威となっています。しかし、一般に公開されている報告とサイバー犯罪コミュニティの両方を検証した結果、現在攻撃者がSlackについてそれほどの関心を持っているという事実には至りませんでした。
• KELAは、サイバー犯罪者らがSlackへの不正なアクセスを収益へと結びつけることに苦戦しているのではないかと考えています。その理由として、Slackは標的のネットワークに直接アクセスできる権限を付与するアプリケーションではないため、攻撃者がSlackから他の社内アプリケーションにアクセスしようと考えるならば、果てしない偵察活動を続けつつまったくの偶然がもたらすチャンスが舞い降りてくるのをひたすら待つしか術がないのです。
• ランサムウェアを悪用する攻撃者の間では大物狩りを狙う戦術が流行しており、その一方で標的型の侵入攻撃による被害額が増加しています。これらを踏まえ、攻撃者らは今後、Slackなど企業のアタックサーフェスを拡大するクラウドアプリに対してより大きな関心を持つであろうと予想されます。
• これらの観点からKELAは、組織や企業の皆様がスケーラブルな自動監視ソリューションを導入し、機密データが保存されたクラウドアプリを狙うサイバー犯罪活動について最新の情報を享受されることを強くお勧めいたします。

プロダクト・マネージャー　ラビード・レイブ　　 脅威インテリジェンスアナリスト　レオン・キュロラプニック

2020年2月中旬以降、さまざまなサイバー犯罪コミュニティで、情報窃取型マルウェア「AZORult」のパスワード窃取機能が2月4日にリリースされたGoogle Chromeのアップデートによって無効化されたことが話題になっています。「AZORult」は現行の情報窃取型マルウェアの中で広く利用されているものの1つで、現在進行中（当時）のキャンペーンの元凶でもあります。「AZORult」の保守は終了しており、多くの脅威アクターはこのマルウェアが完全に引退したと考えています。ただし、これまでもそうだったように変化に対応した既知および未知のマルウェアが出現しています。