初期アクセス・ブローカーの間に生まれた5つのトレンド

脅威インテリジェンスアナリスト  ヴィクトリア・キヴィレヴィッチ

KELAは、過去1年以上にわたって初期アクセス・ブローカーの動向と、彼らがアンダーグラウンドのサイバー犯罪フォーラムに売り出したネットワークへの初期アクセスについて追跡調査を行ってきました。「初期アクセス」とは、不正アクセスを受けた組織が使用しているコンピュータへのリモートアクセスを意味する用語です。そして、そういったアクセスを販売する脅威アクターは「初期アクセス・ブローカー」と呼ばれています。初期アクセス・ブローカーは、場当たり的にキャンペーン(作戦活動)を展開して組織や企業のネットワークを侵害し、ネットワーク内にあるコンピュータへのリモートアクセスを窃取して、アンダーグラウンドで販売しています。その買い手には、ランサムウエアオペレーターをはじめとする標的型攻撃の実行者達も多く含まれており、販売されている初期アクセスを利用することで、彼らにとってもネットワークへの侵入が非常にたやすい作業となっています。つまり、初期アクセス・ブローカーは、ランサムウエア・アズ・ア・サービス (RaaS)エコノミーにおいて今や重要な役割を果たす存在となっているのです。

今回の調査では、初期アクセス・ブローカーの動向と、2020年7月1日から2021年6月30日までの1年間における彼らの活動を観察し、詳細な分析を行いました。そして我々は、初期アクセス・ブローカーの果たす役割がアンダーグラウンドのサイバー犯罪業界でさらなる人気を集め始めたこの1年間における彼らの活動を分析し、その分析を通じて発見した5つの主要なトレンドを本レポートにまとめました。