最新の研究 / サイバー犯罪の 地獄絵図 2022年アニュアルレポート
レポートの全文を読む
近年、個人と組織の両方の間で、ランサムウエア攻撃やデータリーク攻撃に対する懸念が高まっています。これらの攻撃では、ハッカーが、被害者のコンピューターやシステム、ネットワークに不正アクセスしてデータを暗号化し、身代金が支払われるまでシステムを「人質」にとり、身代金が支払われない場合は機密情報を公開するといった行為が行われています。
こういった攻撃の他に、サイバー犯罪ソースで売り出されたネットワークアクセスも、ハッカーの手に渡ってランサムウエア攻撃やデータリーク攻撃に悪用される可能性があることから、これまで以上に注目を集めています。
本レポートでは、2022年のランサムウエア攻撃とデータリーク攻撃、ネットワークアクセスの販売状況の概要、そしてそれらの活動に見られるトレンドの進化について詳述するとともに、攻撃を阻止してリスクを軽減する方法を解説します。
脅威アクターは、サイバー犯罪のエコシステムの中で常に新たな収益化の機会を模索しており、企業の機密データに不正アクセスして悪用することで利益を手にしようと企んでいます。一方サイバー犯罪フォーラムでは、侵害された様々なデータ(データベースやソースコード、社内文書、企業が使用している電子メールなどのサービスを利用する際に必要な資格情報)が出回っています。そして万が一社用メールアカウントの資格情報が脅威アクターの手に渡ってしまった場合は、アクターがそのアカウントユーザーの利用しているコンテンツを閲覧したり、そのアカウントを使って正当なメールに見せかけたフィッシングメールを送信することが可能となります。
今や脅威アクターは新たに登場したマーケットプレースやショップで、攻撃に使用する社用メールアカウントを手軽に購入することができるようになっています。なお、本レポートで言及するWeb メールとは、様々なビジネスメールプロバイダーが提供するWeb ベースのインターフェースやWeb ブラウザを使って送受信されるメールを指します。つまりWeb メールの場合、ユーザーがインターネットに接続してさえいれば社用メールにアクセスすることが可能であり、一方で一般的な電子メールクライアントの場合はデスクトップのプログラムを介する必要があります。今回我々は、電子メールアドレスを専門とする自動売買ショップで、脅威アクターらが社用メールの資格情報数十万件を売りに出している状況に着目し、サイバー犯罪者の作業を容易にしているショップ(XLeet、Odin、Xmina、Lufix など)について詳細な調査を行いました。今回のレポートでは、アクターがアクセスを入手する手口と、フィッシングやビジネスメール詐欺、マルウエアをはじめとする様々な攻撃手法を通じた収益化の手口について詳述します。
脅威インテリジェンスアナリスト サリット・ボロホヴ
2022年第3四半期(2022年7月-9月期)に、攻撃件数で上位にランクインしたランサムウエアグループ及びデータリークグループは、LockBit、 Black Basta、 Hive、 Alphv (別名BlackCat)、BianLianでした。うちBianLianは、比較的最近登場したランサムウエアグループです。また当第3四半期にランサムウエアグループ及びデータリークグループの標的となった業界の第1位は専門サービスであり、同業界に対する攻撃の55%は、LockBit、 Alphv、Hiveによる犯行でした。
2022年第3四半期にランサムウエアグループ及びデータリークグループの標的となった国の第1位は引き続き米国であり、当第3四半期における被害組織の40%は米国企業、その次に英国、フランス、ドイツ、スペインが続きました。また、Yanluowang、 BianLian、 0mega、 Daixin Team、 Donut Leaksなどのデータリークサイト及びランサムウエアブログが新たに登場していました。
KELAが、2022年第3四半期に売り出されたネットワークアクセスのうち570件超について追跡調査を行った結果、希望販売価格の合計額は約400万米ドルとなりました。また当第3四半期に売り出されたネットワークアクセスの平均価格は、約2,800米ドル、中央値は1,350米ドルとなりました。当第3四半期に売り出されたネットワークアクセスの総数については前期とほぼ同じ数字となりましたが、商品の価格はより高額になっていました。また、当第3四半期に売り出された商品のひと月あたり平均件数は約190件となり、前期比で微増となりました。
脅威リサーチ部門長 ヴィクトリア・キヴィレヴィッチ
脅威インテリジェンスアナリスト ヤエル キション
人気を博したサイバー犯罪フォーラム「RaidForums」が差し押さえの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached(別名BreachForums)」が誕生しました。脅威アクター「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっています。
ここで、RaidForumsについて振り返ってみましょう。まずRaidForumsのドメインが米国当局によって差し押えられ、さらにその後の2022年1月下旬には、同フォーラムに関与していた有名な脅威アクター3人が逮捕されました。この時逮捕されたのは、同フォーラムの創設者であり管理者でもあった「Omnipotent」と、同じく管理者を務めていた「Jaw」と「moot」です。米国司法省は、Diogo Santos Coelho(別名Omnipotent)と名乗るポルトガル国籍の人物がRaidForumsの所有者であるとして、このCoelho氏を共謀、アクセス・デバイス詐欺、加重個人情報窃盗の罪で起訴しました。起訴状では、Coelho氏及び他2名の管理者(Jaw及びmoot)が、RaidForumsのソフトウエアとコンピューターインフラストラクチャを設計・管理してデータベース取引を助長していたとされています。
そしてこのRaidForumsが閉鎖されてわずか数週間後、その後継となる新たなフォーラムBreachedが誕生しました。Breachedは、立ち上げからわずか6カ月で新たなデータベース取引プラットフォームとしての地位を確立し、今や8万2,000人を超える登録ユーザーを擁する規模に成長しました。KELAは、本当にBreachedがRaidForumsの後継となり、最も人気の高いデータベース取引サイトになったのかを調査するとともに、同フォーラムにおけるトップアクターの活動や、そこに見られるトレンドについて分析しました。
最高研究責任者 イリーナ・ネステロヴスキー
KELAは、日々様々な企業や機関の皆様と出会い、連携して業務を行っています。それぞれの企業や機関の所在地(地域)や使用言語は多岐にわたりますが、皆様からは一様に「KELAはスペイン語やフランス語、アラビア語、その他あらゆる言語のサイバー犯罪ソースにも対応しているのですか?」との質問をいただきます。まずこの質問に対する答えは、「イエス(必ずしもイエスと言えない場合もありますが)」ですが、この答えの背景には「企業を狙う脅威が標的を選ぶ際、その標的企業がどれほど大きな(又は小さな)規模であろうと、そしてどの業界に属していようと、言語や地理を理由に選択肢を制限することはない」という現状があります。
企業やその顧客を狙うサイバー犯罪において特に興味深い点は、攻撃を実行する犯罪者が組織を脅かすのに、被害者(組織)の同胞である必要もなければ、被害者(組織)と同じ言語を話す必要もないということです。
ここで、有名なサイバー犯罪フォーラムをいくつか取り上げ、該当する事例をみていきましょう。サイバー犯罪フォーラムでは、様々なスキームについて議論が交わされ、ネットワークアクセスやデータベースをはじめとする「商品」が金銭的目的で取引されています。例えば、フォーラム「Exploit」や「XSS」はロシア語話者の脅威アクターが運営していますが、彼らが仲間の外国人サイバー犯罪者とやり取りする時は英語を使用しています。またこれらのフォーラムでは、ユーザー(サイバー犯罪者)の居住地に関係なく、世界中の企業をはじめとする様々な標的や被害者(組織)について議論が交わされています。そして我々が初期アクセス・ブローカーのトレンドを調査した結果でも、ネットワークアクセスを介して侵害された企業が多い国の第1位は今なお米国であり、その後に英国、ブラジル、カナダ、インドが続いています。
KELA サイバー犯罪インテリジェンスセンター
ランサムウエアグループは引き続き進化を遂げ、世界中の組織や企業を脅かしています。2022年第2 四半期は、一部のグループにおいて活動量を減少する、または活動そのものを停止するといった動向が観察されましたが、その一方でBlack Basta をはじめとする新たなアクターが登場し、企業から金銭をゆすり取っていました。その他、データの窃取やデータリークサイトの運営といったランサムウエアグループの手口を模倣しながらも、実際の攻撃では暗号化ソフトウエアを使用していないアクターも登場しています。
ランサムウエアオペレーションやデータリークサイトを運営しているアクターにとっては、成長の一途をたどるサイバー犯罪エコシステムを活用することで、偵察フェーズや最初の不正アクセスフェースがさらに容易なものとなっています。そしてその中でも、企業のネットワークアクセスを販売している初期アクセス・ブローカー(IAB)は、ランサムウエアのサプライチェーンにおいて重要な役割を果たしています。アンダーグラウンドでネットワークアクセスの供給者となっている彼らを監視することは、ランサムウエア・アズ・ア・サービスのエコシステムの更なる理解につながると言えるでしょう。
本レポートでは、2022年第2四半期にKELAが監視したランサムウエアグループや初期アクセス・ブローカーの動向について解説します。
KELAサイバーインテリジェンスセンター
近年、情報窃取型トロイの木馬は非常に人気の高い攻撃ベクトルとなっています。攻撃者は、情報窃取型トロイの木馬を使ってユーザー名やパスワードなどの「ログ」をはじめ、感染した端末に保存されている情報を窃取しており、窃取した後は「Russian Market」や「TwoEasy」、「Genesis」などの自動ボットネットマーケットや非公開の場でそれらの情報を販売しています。こういった「ログ」を脅威アクターに購入されてしまった場合、彼らが「ログ」の所有者の様々なリソースへアクセスすることが可能となり、組織にとってはデータ窃取やネットワーク内での水平移動、さらにはランサムウエアなどマルウエアの展開を実行されうる重大なリスクとなります。
サイバー犯罪フォーラムで宣伝されている情報窃取マルウエアのうち、アンダーグラウンドのマーケットプレイスで存在が確認されている人気の高い情報窃取マルウエアとしては、「RedLine」、「Raccoon」、「Vidar」が挙げられます。こういったいわゆる「コモディティタイプの情報窃取マルウエア」には依然として人気を維持しているものもありますが、KELAは、様々な条件下で情報窃取マルウエアの勢力図が変化しはじめていることを確認しました。地上の世界でロシアのウクライナ侵攻が続く中、アンダーグラウンドでは情報窃取マルウエアのオペレーターが自らのマルウエアの機能向上を迫られており、さらにそういった状況に金銭的動機が組み合わさった結果、新たな情報窃取マルウエアやサービスが誕生していました。
今回のレポートでは、現在活動している情報窃取マルウエアに焦点をあてるとともに、以前から存在していた情報窃取マルウエアの進化や、新たな情報窃取マルウエアの誕生について詳述します。
脅威インテリジェンスアナリスト ヤエル キション
ランサムウエアグループは、2022年第1四半期も引き続き重大な脅威となりました。彼らは、初期アクセス・ブローカー(IAB)をはじめとする様々なサイバー犯罪者と協働し、世界中の企業を攻撃しようと企んでいたのです。KELAは、2022年第1四半期におけるランサムウエアグループや初期アクセス・ブローカーの活動を監視した結果、以下の洞察を得ることができました。
2022年第1四半期のランサムウエア被害組織の総数は、2021年第4四半期の982組織から40%減少して698組織となりました。また、最も活発に活動を展開していたグループも、2022年の初旬以降はContiからLockBitへと変化しました。ただし、Contiが行った攻撃の件数については2022年1月に減少傾向がみられたものの、同グループの内部データがリークされた後に再び増加へと転じました。
我々は、売り出されているネットワークアクセスのうち150件以上について、そのアクセスを所有している組織(被害組織)を特定し、またその一部についてはBlackByteやQuantum、Alphvが実行したランサムウエア攻撃と関連があったことを確認しました。これらを踏まえ、攻撃で使用されたネットワークアクセスを購入したのは、非常に高い確率でランサムウエアアフィリエイトであったと考えられます。
脅威インテリジェンスアナリスト エリーナ コルドブスキー
ロシアとウクライナは長きにわたり緊張関係にありましたが、2022年2月24日、ついにロシア軍がウクライナに侵攻する事態となりました。この侵攻が始まる直前、ロシアのウラジミール・プーチン大統領は、ウクライナがネオナチによって統治されているとの誤った非難を展開していました。また彼は、NATOがロシアの国家安全保障に対する脅威を形成していると主張し、ウクライナの加盟を禁止するようNATOに要請していました。
このようなロシアの挙動をうけて、多くの国々はロシアが西側諸国の組織や企業に対してサイバー攻撃を仕掛けてくる可能性があると推測し、米国にいたっては、NATOがロシアのサイバー攻撃に備えることができるよう「セキュリティ担当機関の幹部」を派遣しました。しかしこういった予想に反して、ロシアが大規模なサイバー攻撃を実行することはなく、ウクライナや欧州の国々が懸念していた大規模なサイバー攻撃は、過度な心配であったことが明らかとなりました。それでもロシアはウクライナの政府機関やインフラ、電気通信企業、その他の組織に対し、大規模な攻撃の代わりにDDoS攻撃やワイパー攻撃を実行しています。一方ウクライナは、自国防衛を目的として有志による「IT軍」を立ち上げ、今日にいたるまで世界中のハクティビスト組織とともにロシアの企業や組織を攻撃しています。
そしてこういった変化の波は、アンダーグラウンドのサイバー犯罪社会にも訪れています。以前は存在していなかった新たな違法サービスが登場し、政治に無関心であったはずのサイバー犯罪フォーラムで戦争に関する議論が交わされ、ハクティビストがロシアの有名なランサムウエアグループのソースコードを使用してロシアの企業を攻撃するなど、もはやサイバー犯罪社会の情勢は、これまでとは大きく様変わりしています。
今回のレポートでは、ロシアのウクライナ侵攻により、アンダーグラウンドのサイバー犯罪社会に生じた様々な変化を検証します。サイバー犯罪社会における繊細な地政学を理解し、現実社会に生じた危機がアンダーグラウンドのサービスやビジネスチャンスにどのような影響を与え、新たなトレンドを生み出すのかを理解する一助としてご活用ください。