アクセス・アズ・ア・サービス―サイバー犯罪のアンダー グラウンドに広がるリモートアクセスマーケット

プロダクトマネージャー ラビード・レイブ

リモートアクセスマーケットとは、攻撃者が侵害したウェブサイトやサービスへのアクセス認証情報を自動売買する市場です。そしてその手軽さゆえに、攻撃者にとっては絶え間なく生成される大量のビジネスチャンスをいつでも購入できる場所となっています。組織のネットワークへのアクセスをサービスとして購入できるということは、不正行為に必要な技術的ハードルが下がるということであり、その結果、組織がランサムウェア攻撃やカードスキミングなど、一連のオンラインの脅威にさらされるということにつながります。

今回のブログでは、KELAが追跡・監視しているリモートアクセスマーケットでも、特に有名な存在となっている「MagBo」について考察します。MagBoは様々な点でその独自性を打ち出していますが、なかでも取り扱い商品数が大きいことが特徴といえるでしょう。同マーケットは2年にわたるその操業期間において、侵害したウェブサイト約150,000件へのアクセス(その大半は侵害したサーバーにインストールしたWebシェルマルウェアへのアクセス)を売買しており、そのなかには世界中の金融機関、政府組織、重要インフラストラクチャーのウェブサイトも含まれていました。KELAは、MagBoやその他のリモートアクセスマーケットについての洞察を得ることが、防御する側にとって極めて重要なインテリジェンスフィードになると提言します。

SLACKと企業のアタックサーフェスの現在、そして未来

プロダクトマネージャー ラビード・レイブ

  • 一部報道では、先週発生したTwitterアカウントの乗っ取りは、Twitter の社内Slackの資格情報を窃取した攻撃者によって行われたものと発表しています――実際には、攻撃者はSlackを同社ネットワークに侵入するための初期アクセスとして利用していました。
  • アンダーグラウンドのサイバー犯罪マーケットでは12000件を超えるSlackの資格情報が販売されており、数千もの組織にとって明らかな脅威となっています。しかし、一般に公開されている報告とサイバー犯罪コミュニティの両方を検証した結果、現在攻撃者がSlackについてそれほどの関心を持っているという事実には至りませんでした。
  • KELAは、サイバー犯罪者らがSlackへの不正なアクセスを収益へと結びつけることに苦戦しているのではないかと考えています。その理由として、Slackは標的のネットワークに直接アクセスできる権限を付与するアプリケーションではないため、攻撃者がSlackから他の社内アプリケーションにアクセスしようと考えるならば、果てしない偵察活動を続けつつまったくの偶然がもたらすチャンスが舞い降りてくるのをひたすら待つしか術がないのです。
  • ランサムウェアを悪用する攻撃者の間では大物狩りを狙う戦術が流行しており、その一方で標的型の侵入攻撃による被害額が増加しています。これらを踏まえ、攻撃者らは今後、Slackなど企業のアタックサーフェスを拡大するクラウドアプリに対してより大きな関心を持つであろうと予想されます。
  • これらの観点からKELAは、組織や企業の皆様がスケーラブルな自動監視ソリューションを導入し、機密データが保存されたクラウドアプリを狙うサイバー犯罪活動について最新の情報を享受されることを強くお勧めいたします。