ディフェンダー・ イン・ザ・ミドル

脅威リサーチ部門長 ヴィクトリア・キヴィレヴィッチ

  • 先日Uber社とRockstar Games社で不正アクセスが発生したことを受け、KELAは、企業で使用されている資格情報が侵害され、その後それらの情報がサイバー犯罪のエコシステムで公開・売買されたことが発端となった攻撃について調査を行いました。
  • 今日のサイバー犯罪者は、情報窃取マルウエアを使って企業で使用されている資格情報を多数窃取し、それらの情報を自動ボットネットマーケット(GenesisやRussian Market、TwoEasyなど)で販売しています。企業を狙う脅威アクターは、このサイバー犯罪エコシステムのおかげで企業の資格情報を簡単に入手することが可能となっています
  • 一部の脅威アクターは、不正アクセスしたアカウントから現金を引出・送金するといった手口で簡単に金銭を窃取できる、銀行口座やECアカウントの資格情報を探しています。しかし、より頭の良い脅威アクターは組織を狙い、標的組織で使用されている資格情報を探しています。後者に該当する脅威アクターは、組織の資格情報を発見するコツについて情報交換を行い、サイバー犯罪のエコシステムを活用して数ドルで資格情報を購入しています。
  • 幸いなことに、ネットワークの防御者もサイバー犯罪エコシステムにアクセスして、攻撃を企てる脅威アクターと同じ情報を得ることができます。また、脅威インテリジェンスソリューションを活用して意図せず外部に公開されている自組織の資産を効果的に監視し、不要な露出を是正する、侵害されたデータをテイクダウンするといった対応を取り、アタックサーフェスを縮小することが可能となります。
  • 企業の直接的な資産に限定せず、サードパーティのサービスを活用したワークスペースについても注意することが重要です。Slackが、まさにこれに該当する1例です。弊社の調査では、既に各組織のワークスペース数千件が侵害されていることが判明しており、Electronic Arts社で発生したインシデントと同様の攻撃に悪用される可能性が懸念されます。
  • サイバー犯罪は、サービタイゼーション(「サービス」を商品として売買する行為)や売買プロセスの自動化、「商品」の可視性の向上を中心に進化し続けており、今後さらに多くの脅威アクターが、サイバー犯罪エコシステムを利用するようになると予想されます。