初期アクセスがランサムウエア攻撃にいたるまで—5つの事例

KELAサイバーインテリジェンスセンター

成功しているランサムウエア攻撃は、いずれも攻撃者が被害者に気付かれることなくネットワークへ侵入するところから始まっています。一部の攻撃者は、被害者組織のネットワークアクセスを秘密裡に入手していますが、サイバー犯罪フォーラムやマーケットで商品として販売されているアクセスを利用している攻撃者も存在します。

そういった「商品」の一部は初期アクセス・ブローカー販売しており、彼らはランサムウエア・アズ・ア・サービス(RaaS)エコノミーの中で重要な役割を果たしています。初期アクセス・ブローカーは、不正アクセス先の組織が所有するコンピューターへのリモートアクセス

(ネットワークへの初期アクセス)を販売しており、彼らの活動がネットワークへの侵入を著しく容易にしていると同時に、無作為に行われる場当たり的なキャンペーンを標的型攻撃につなげる役割を果たしています。またその一方で、ランサムウエアアクターも理想的な被害者像に合致するネットワークアクセスを求めて、サイバー犯罪フォーラムの商品を積極的にチェックしています。

今回のレポートでは、商品として売り出されたネットワークアクセスが攻撃の発端となり、またそのアクセス販売開始から1 カ月以内にランサムウエア攻撃が開始された事例を数件取り上げて解説します。