ロスト・イン・トランスレーションが起こらない世界—サイバー犯罪者にとって言語が障壁とならない理由とは

最高研究責任者 イリーナ・ネステロヴスキー

KELAは、日々様々な企業や機関の皆様と出会い、連携して業務を行っています。それぞれの企業や機関の所在地(地域)や使用言語は多岐にわたりますが、皆様からは一様に「KELAはスペイン語やフランス語、アラビア語、その他あらゆる言語のサイバー犯罪ソースにも対応しているのですか?」との質問をいただきます。まずこの質問に対する答えは、「イエス(必ずしもイエスと言えない場合もありますが)」ですが、この答えの背景には「企業を狙う脅威が標的を選ぶ際、その標的企業がどれほど大きな(又は小さな)規模であろうと、そしてどの業界に属していようと、言語や地理を理由に選択肢を制限することはない」という現状があります。

企業やその顧客を狙うサイバー犯罪において特に興味深い点は、攻撃を実行する犯罪者が組織を脅かすのに、被害者(組織)の同胞である必要もなければ、被害者(組織)と同じ言語を話す必要もないということです。

ここで、有名なサイバー犯罪フォーラムをいくつか取り上げ、該当する事例をみていきましょう。サイバー犯罪フォーラムでは、様々なスキームについて議論が交わされ、ネットワークアクセスやデータベースをはじめとする「商品」が金銭的目的で取引されています。例えば、フォーラム「Exploit」や「XSS」はロシア語話者の脅威アクターが運営していますが、彼らが仲間の外国人サイバー犯罪者とやり取りする時は英語を使用しています。またこれらのフォーラムでは、ユーザー(サイバー犯罪者)の居住地に関係なく、世界中の企業をはじめとする様々な標的や被害者(組織)について議論が交わされています。そして我々が初期アクセス・ブローカーのトレンドを調査した結果でも、ネットワークアクセスを介して侵害された企業が多い国の第1位は今なお米国であり、その後に英国、ブラジル、カナダ、インドが続いています。

次世代の情報窃取マルウエア

KELAサイバーインテリジェンスセンター

近年、情報窃取型トロイの木馬は非常に人気の高い攻撃ベクトルとなっています。攻撃者は、情報窃取型トロイの木馬を使ってユーザー名やパスワードなどの「ログ」をはじめ、感染した端末に保存されている情報を窃取しており、窃取した後は「Russian Market」や「TwoEasy」、「Genesis」などの自動ボットネットマーケットや非公開の場でそれらの情報を販売しています。こういった「ログ」を脅威アクターに購入されてしまった場合、彼らが「ログ」の所有者の様々なリソースへアクセスすることが可能となり、組織にとってはデータ窃取やネットワーク内での水平移動、さらにはランサムウエアなどマルウエアの展開を実行されうる重大なリスクとなります。

サイバー犯罪フォーラムで宣伝されている情報窃取マルウエアのうち、アンダーグラウンドのマーケットプレイスで存在が確認されている人気の高い情報窃取マルウエアとしては、「RedLine」、「Raccoon」、「Vidar」が挙げられます。こういったいわゆる「コモディティタイプの情報窃取マルウエア」には依然として人気を維持しているものもありますが、KELAは、様々な条件下で情報窃取マルウエアの勢力図が変化しはじめていることを確認しました。地上の世界でロシアのウクライナ侵攻が続く中、アンダーグラウンドでは情報窃取マルウエアのオペレーターが自らのマルウエアの機能向上を迫られており、さらにそういった状況に金銭的動機が組み合わさった結果、新たな情報窃取マルウエアやサービスが誕生していました。

今回のレポートでは、現在活動している情報窃取マルウエアに焦点をあてるとともに、以前から存在していた情報窃取マルウエアの進化や、新たな情報窃取マルウエアの誕生について詳述します。