KELAサイバーインテリジェンスセンター
サイバー犯罪情勢は常に進化し、高度な脅威やリスクが新たに出現しています。そしてその源となるサイバー犯罪エコシステムの中心部は、脅威アクターで構成されています。彼らはサイバー犯罪事件の背後でブレーンとして活動し、ランサムウェア攻撃やデータ侵害に関与したり、新たなマルウェアを開発して企業のネットワークを侵害しようと目論んでいます。こういった脅威アクターの種類やレベルは多岐にわたり、国家支援を受けた高スキルのハッカーもいれば、スクリプトキティ(初心者レベルのハッカー)もいます。
今回のブログでは、KELAの新モジュール「THREAT ACTORS」の機能を説明し、サイバー脅威インテリジェンスアナリストの皆様に業務で活用していただける方法についてご紹介します。
また本モジュールは、セキュリティ担当チームの皆様が、サイバー犯罪社会で活動している脅威アクターの活動を監視、特定、追跡し、彼らのTTPや脅威アクター同士のつながりを理解するためのツールとしてもご利用いただけます。さらに、脅威アクターの活動動機や使用しているハンドル名、ツール、連絡先情報、サイバー犯罪フォーラムでの活動状況など、実際の業務に役立つ知見をご覧いただけます。
ダッシュボードの脅威アクタープロファイルを絞り込み
今回ご紹介するTHREAT ACTORSモジュールは、KELAの総合プラットフォーム上でご提供しています。本モジュールでは、様々な脅威アクターについて広範な領域を網羅した詳細なプロファイルを閲覧することができ、脅威インテリジェンスアナリストの皆様が使用される場合であれば、攻撃者が特に興味を持っている分野(標的としている業界や地域、活動の動機、サイバー犯罪フォーラムでの活動内容など)をもとに彼らを分析し、深堀調査を行っていただけます。これらの情報は全て、一元化されたダッシュボードで簡単にご覧いただけます。
脅威アクターのプロファイルには、多岐にわたる重要な情報が含まれています。
表示される項目の一部:
- 出身地域・国
- 活動の動機
- ハンドル名
- 活動しているサイバー犯罪コミュニティ
- 標的とする業界
- 標的とする地域
- 活動のサマリー
本モジュールのACTORS HUBでは、あらゆる初期アクセスブローカー(IAB:組織のネットワークを侵害し、ネットワークアクセスを販売することに特化しているアクター)の概要をご覧いただけます。また、動機の種類(ランサムウェアやネットワークアクセス、データリーク、マルウェアなど)を選択して絞り込みを行うことで、選択した動機に関連した活動を行っている脅威アクターのプロファイルのみを表示することができます。例えば、「英国を標的にしている初期アクセスブローカー」に絞り込んだ場合、約100人のアクターが検索結果に表示されます。
地域を「英国」、動機を「ネットワークアクセス」で絞り込みを行った画面
特定の脅威アクターを検索
THREAT ACTORSモジュールは、サイバー脅威インテリジェンスチームの皆様がサイバー犯罪のトレンドやキャンペーンを監視した後で、特定の脅威アクターについて包括的かつ詳細な調査を行うツールとしてもご利用いただけます。調査対象とする脅威アクターのハンドル名を本モジュールの画面に入力すると、該当するアクターの電子メールアドレスやインスタントメッセージ(TelegramやJabber、TOX)などの連絡先情報をはじめ、様々な情報を閲覧することができます。
KELAがご提供しているもう1つのモジュール「INVESTIGATE」で調査を行って現在のサイバー犯罪の傾向を把握した後で、THREAT ACTORSモジュールを活用していただくと、特定の脅威アクターを調査できる機能の重要性をより一層実感していただけます。特に初期アクセスブローカーに関する調査では、本モジュールの機能を通じてアクターに対する理解を深化していただけます。
ここで、具体的な使用例を挙げてみましょう。アナリストの皆様がKELAのプラットフォームでインテリジェンスフィードを閲覧している最中に、特定のインシデントに興味を持ったとします。このインシデントが「脅威アクター『Rqrelty』が投稿した、Volkswagen社のアルゼンチン子会社のネットワークアクセス」に関連しているものであった場合、アクター「Rqrelty」のサイバー犯罪フォーラムでの活動や連絡先情報、信頼性をはじめ、同アクターの全容を網羅した詳細情報をACTORS HUBで閲覧することができます。同モジュールで、Rqreltyが自動車業界を主な標的に活動しているのか、そして初期アクセスブローカーとして専門的な知識を持っているのかなどの点をチェックすることができ、またその後の調査に役立つ重要な情報を得ることができます。
さらにTHREAT ACTORSモジュールで「Rqrelty」を検索すると、同アクターの詳細情報を掲載したプロファイルが表示され、このページで同アクターの広範な活動の概要を閲覧することができます。さらにアクターのプロファイル画面には、ソース別の活動状況や各時期ごとの活動が視覚的なグラフで表示されます。Rqreltyのプロファイル画面(下図)を例に挙げると、同アクターが複数のハンドル名(Rqrelty、Sqlety、Totemchikkkkなど)を使い、ExploitやXSSをはじめ様々なサイバー犯罪フォーラムで活動していることがわかります。またKELAの調査チームは、アクターが各ハンドル名を使って行っている活動をあらゆるフォーラムで追跡しており、この情報も本モジュールで確認することができます。脅威アクターのプロファイルには、KELAの調査チームが入手した(脅威アクターの)連絡先情報も掲載されており、この情報を活用することで、脅威アクターの電子メールアドレスやソーシャルメディアチャンネルから送信されたメッセージをブロックすることができます。また反対に、この連絡先情報を使って脅威アクターとやり取りを行うこともできます。
初期アクセスブローカー「Rqrelty」のプロファイル画面:複数のハンドル名を使って、様々なサイバー犯罪フォーラムで活動している経験豊富なアクターであることがわかる。
ワンクリックで調査を実行
サイバー脅威インテリジェンスチームが入手した手がかりがたった一片の情報であったとしても、ACTORS HUBを使って調査することができます。ここでは、ランサムウェア攻撃が行われて、身代金要求メモが残された場合を例に挙げてみましょう。通常、身代金要求メモには連絡先が記載されており、TOX IDが記載されていることがありますが、そのTOX IDを検索することで攻撃を行ったアクターを特定することができるのです。例えば、身代金要求メモに残されていたTOX IDが「3488458145EB62D7D3947E3811234F4663D9B5AEEF6584AB08A2099A7F946664BBA2B0D30BFC」であったとします。このIDをACTORS HUBで検索すると、ランサムウェアグループ「Alphv(BlackCat)」が使用しているTOX IDであることが分かります。またこの検索結果に表示されたAlphvのプロファイルで、同グループのメンバーの概要および詳細なインテリジェンス(サイバー犯罪フォーラムで使用している様々なハンドル名、複数の連絡先情報など)を閲覧することができます。
Tox IDをもとにランサムウェアグループ「 Alphv」の関与が判明
今度は、サイバー脅威インテリジェンスチームが「Whitesnake」などの新たな情報窃取マルウェアやツールについて調査する場合を例に挙げてみましょう。ACTORS HUBで「whitesnake」をキーワードに検索を実行すると、同じハンドル名「whitesnake」を使用しているアクターが6人表示されます。いずれも別々のアクターですが、うち数人はWhitesnake(情報窃取マルウェア)と関連があるプロファイル画像を使用しています。またこの画面から、XSSで使用されていたwhitesnakeのアカウントが同フォーラムで使用禁止になっていることが分かります。XSSでアカウントが使用禁止になっているという事実は、同アクターの信頼性が低い可能性を示唆していると読み取ることができ、アナリストの皆様がさらなる調査を進めるうえで、重要な情報として活用することができます。またWhitesnakeのプロファイルをクリックすると、より詳細な情報を確認することができます。Whitesnakeの場合は、2023年1月にXSSで活動を開始して以降、2023年8月まで同フォーラムで活動していたこと、別のフォーラム「BDF」では現在も活動していると思われることなどが表示されます。
脅威アクター「Whitesnake」がXSSを出入禁止になっていたことが表示されている画面
メタデータから重要な知見を入手
これまでにご説明した通り、KELAのプラットフォームではサイバー犯罪フォーラムでの投稿やコンテンツだけではなく、メタデータに基づいた実用的な知見もご提供しています。具体的には、脅威アクターがサイバー犯罪フォーラムに登録した日や、他に使用しているID、プロファイルの画像などが挙げられます。
ここで一例として、脅威アクター「adrastea」を挙げてみましょう。同アクターは2022年7月から複数のサイバー犯罪フォーラムで活動し、政府のデータベースを売りに出しています。THREAT ACTORSモジュールで同アクターのハンドル名(adrastea)を検索すると、全てのフォーラムで同じプロファイル画像を使用していることが分かります。検索結果(下図)にはadrasteaが5つのフォーラムで使用しているプロファイルが表示され、同じ脅威アクターであることが一目でわかります。
様々なサイバー犯罪フォーラムで同じプロファイル画像を使用している脅威アクター「adrastea」
脅威アクターは、往々にしてサイバー犯罪フォーラムで公開する投稿のシグネチャーに、連絡先情報やハンドル名、経歴などのユーザー情報を追記しています。いずれもさらなる調査に役立つ重要な情報であり、KELAのTHREAT ACTORSモジュールはそれらの情報を抽出して脅威アクターのプロファイルに取り込んでいます。
脅威アクター「Drumrlu」を例に挙げると、同アクターのシグネチャーには「Turkish Hacker」と記載されています。これは、同アクターの出身を示唆する情報であるとも考えられます。
トルコに拠点を置いてると思われる脅威アクター「Drumrlu」のプロファイル
ランサムウェアグループ「LockBit」のメンバーである「LockBitSupp」のシグネチャーにも、役立つ情報が含まれています。同アクターは連絡方法についての詳細をシグネチャーに記載しており、「個人宛のメッセージを送ってくる場合は、『通信を暗号化する(AES256+SHA256)』のチェックボックスをオフにしてくれ。個人的なメッセージを他の人に読まれる可能性を懸念するなら、安全な「PRIVATE NOTE」 経由でメッセージを送り、画像やファイルの場合は「FILE SHARE」を使用してくれ」と指示しています(注:この指示に記載されている「PRIVATE NOTE」 および「FILE SHARE」は、LockBitのウェブサイトで提供されているサービスです)。
また脅威アクターのシグネチャーには、彼らの活動の動機や、活動分野に関する情報も含まれています。Bl00dのシグネチャーには「ボットネットや情報窃取マルウェアのオペレーションパートナーを募集している。ダイレクトメッセージを送るか、私がTelegramで公開しているハッキングチャンネルに参加してくれ」と記載されています。
Bl00dのシグネチャー:情報窃取マルウェアのオペレーションパートナーを募集していることが記載されている
THREAT ACTORSモジュールの価値
KELAのTHREAT ACTORSモジュールには、様々なソースから収集した脅威アクターに関する広範な情報が統合されており、皆様の調査を効率化します。また、アクター同士の関係性までもを網羅したプロファイルをはじめ、包括的な知見をユーザーフレンドリーなインターフェイス経由で手軽に入手していただけます。脅威アクターの正体や過去の活動状況、チャンネルの利用状況を画像やグラフで表示し、皆様が情報を一目で把握できる仕組みになっています。日々のデータ分析業務や情報収集、調査活動に計り知れないほどの価値をもたらすツールとして、ぜひご活用ください。
無料トライアルに登録して、THREAT ACTORSモジュールを体験し、攻撃者の先を行きましょう!
また、弊社の製品ライブツアーにもぜひご参加ください。KELAの製品部門ヴァイス・プレジデントがTHREAT ACTORSモジュールとIDENTITY GUARDモジュールについて解説します。