完全に信用できるアクターなど存在しない― ソース検証の重要性

KELAサイバーインテリジェンスセンター

ランサムウエアブログのリストに掲載される被害者の数は、過去数年間で劇的に増加しています。また攻撃者たちの間で「二重恐喝」戦術が普及した現在、企業はコンピューターのロックを解除することに加え、データの公開を阻止するためにも金銭を支払わざるをえない状況に直面しています。KELAは、ランサムウエアグループのブログを定期的に監視しており、そこではランサムウエア攻撃を受けた被害者の名前やデータが公開されています。一方で、必ずしもランサムウエアを使用しているわけではないものの、同様のリークサイトを運営しているアクターも存在します。彼らは別の侵入方法を使ってデータを窃取し、そのデータを外部に公表する(または第三者に販売する)と言って被害者を恐喝することもあれば、他の攻撃者が窃取したデータを再販することもあります。さらには、過去のリーク情報や実際には存在しないリーク情報を使って詐欺とも呼べる恐喝行為を行うアクターも存在します。

こういった「オファー」の存在は、サイバーセキュリティ情勢に直接的な影響を及ぼすとともに広範にわたってノイズを生成し、サイバー脅威研究者が真の脅威に焦点を絞る上での妨げとなります。つまり、我々がソースを注意深く監視してあらゆる情報を額面通りに受け止める前に、まずソースそのものを検証することが非常に重要であるということです。今回のブログでは、我々が新たなソースを検証し、脅威のレベルを評価する方法について、以下のサイトを取り上げながら解説してゆきます。

  • Amigos
  • Coomingproject
  • Dark Leaks Market
  • Quantum
  • Groove