サイバー犯罪社会のアクター達がゲーム業界に仕掛ける「脅威のゲーム」

プリセールス・エンジニア アルモグ・ズースマン 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

ゲーム業界は、コロナウイルスの流行による恩恵を受けた業界の一つです。外出自粛が始まって以降、多くの人々が屋内で楽しめる趣味を模索する中、オンラインゲームに注目が集まっています。そしてゲームソフトやゲームアプリの購入数とプレイヤーの増加により、オンラインゲーム業界の収益は2022年までに1960憶ドルに達すると予想されています。しかし、このゲーム業界における著しい成長が、新たな標的を探すサイバー犯罪者らの関心を引き付けています。セキュリティ対策を、業界の発展や利益と同レベルにあるべき優先事項として扱っておらず、その上有望な前途が待ち受けている新興業界ほど、彼らにとって最適な標的は他にありません。つまりゲーム業界は、金融業界のように何兆ドルもの評価を受けているわけではありませんが、利益を重視するサイバー犯罪者の多くが重要なポイントとする「利益の増大」と「プロセスの簡素化」の2点をクリアしているのです。

コロナ禍においてゲーム業界を狙う脅威の勢力図を評価するにあたり、我々は大手ゲーム企業の従業員や社内システムを脅かす恐れのあるリスクについて調査を行いました。今回のブログの重要なポイントは、以下の通りです。

  • KELAは、ゲーム会社のネットワーク(特に開発者用リソース)への初期アクセスに対する需要と供給について、複数の事例を確認しました。
  • また、ゲーム会社の従業員及び顧客に関連するアカウント約100万件が侵害されており、うち半分が2020年中に売り出されていることを確認しました。
  • さらに、大手ゲーム企業の従業員に関連する資格情報が50万件以上流出している状況を検出しました。
  • ゲーム業界が成長するに伴い、同業界を狙う脅威の数も増加しています。ゲーム業界の企業は、サイバー犯罪コミュニティを積極的に監視して、価値あるインテリジェンスをリアルタイムで収集することにより、自らのアタックサーフェスを外部者の視点で確認し、サイバー犯罪者らのもたらす脅威を軽減することができるでしょう。

お手軽な侵入経路となったのか?ランサムウェアの餌食となった5つの企業とサイバー犯罪サイトに流れたPulse Secureの VPN 資格情報

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

KELAは、世界中でランサムウェア攻撃が増加の一途をたどる現状と、Pulse Secure社VPN製品の資格情報リストが流出した事件を背景に、最新の調査を行いました。すべてのランサムウェア攻撃で、CVE-2019-11510 (パッチ未適用のPulse Secure VPNサーバーに存在する脆弱性)や、過去に公開された企業のネットワーク資格情報が悪用されているわけではありませんが、今回の調査は、ランサムウェア攻撃に使われた可能性のある初期感染ベクトルを分析する際に、新たな視点を与えてくれる内容です。また先日も、脆弱なFortinet VPNの資格情報が5万件近く流出するという事件が発生しており、 ランサムウェア攻撃で狙われうる初期感染ベクトルについての懸念はますます高まっています。

今回私達が得た主な調査結果は、以下のとおりです。

  • ランサムウェア攻撃の被害者となった5社が使用しているPulse Secure VPNサーバーの資格情報は、2020年8月に脅威アクターが公開したPulse SecureのVPNリスト(フォルダやファイル等のディレクトリ形式)の中に含まれていました。
  • ランサムウェア集団は、身代金が確実に支払われるよう後押しするべく、被害者となった企業3社のデータを自らのブログで公開しました。KELAと脅威アクターの間で攻撃について交わされた会話から、少なくとも被害を受けた1社(企業名は不明)は身代金を支払っていることが判明しています。
  • 攻撃に関与した脅威アクターは、少なくとも侵害したうち1社の初期アクセスは、CVE-2019-11510を利用したものであることを認めました
  • 企業のIT部門やサイバーセキュリティ部門が、自社ネットワークの安全を維持し、マルウェアをはじめとする高度な攻撃を阻止するにあたり、Pulse Secure VPNの資格情報などを含めたサイバー犯罪社会の脅威を積極的に監視することがその一助となります。

君にはゴミでも僕には宝石:新たなエコシステムが推進するサイバー犯罪のイノベーション 

プロダクトマネージャー ラビード・レイブ

サイバー犯罪の金融エコシステムは、アンダーグラウンドで新たに生まれる革新的なビジネスニーズに合わせて日々変化しています。データを買い求める者達は、大量のデータを最も簡単に、そして可能な限りスムーズに手に入れる方法を模索しており、その一方で脅威アクターらは彼らを支援するべく、嬉々としてマルウェア・アズ・ア・サービスから月次のサブスクリプションサービス、データ侵害にまで至るまで新たなサービスを生み出しています。

今回のブログでは、多くのコミュニティに定着しつつある興味深いトレンド、すなわちバンキング型トロイの木馬や情報窃取型マルウェアを使って窃取されたデータが、窃取したアクター達によって直接販売されており、さらには企業が主な標的となっている状況に焦点を当てました。窃取した資格情報を販売する方法には2パターンあり、サイバー犯罪コミュニティの脅威アクターらが直接データを販売するケースと、専門の自動売買マーケットを通じて販売するケースがあります。アクターらが、そういったデータ売買を通じて企業の資格情報を収益化しているという事実は、企業に対する脅威がますます高まりを見せていることを意味しますが、そういった取引が活発かつ堅調に行われているマーケットは、防衛する側の人間にとっては情報を収集する絶好の舞台であり、サイバー犯罪がどのように運営されているのかを直接目にすることのできるチャンスでもあります。

特集:日本の組織を狙うサイバー犯罪の脅威

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

サイバー攻撃の増加と2021年の東京オリンピック開催を受け、日本政府はサイバーセキュリティに関する取り組みへの投資を続けており、デジタル庁の創設もその取り組みの一つに挙げられます。同庁については、キャッシュレス決済サービスに紐づけられた日本の銀行口座から相次いで金銭が不正に引き出されるという最近の事件の後に、その創設が決定されました。この不正引き出し事件ではその手口として、侵害された銀行口座の資格情報やその他の攻撃ベクトルを悪用したブルートフォース攻撃が行われた可能性があります。しかし、最近KELAが行った調査によると、銀行のインフラに対する攻撃は日本の組織を標的とする脅威のほんの一端であり、我々は次のような攻撃についても確認しています。

  • 漏えいデータ・不正侵入されたアカウント:我々は、日本の企業や政府、教育機関のデータがサイバー犯罪社会の中で活発に流通していると同時に、脅威アクターからの需要もあることを確認しました。攻撃者が標的とするネットワークへの初期アクセス(侵入地点等)を入手するために、漏えいデータや不正侵入されたアカウントを悪用する可能性があります。
  • ネットワークへの初期アクセス:我々は、2020年6月から10月までの間に日本の企業や大学、某省庁をはじめとする複数の組織が不正にアクセスされていることを確認しました。攻撃者が初期アクセスを使ってネットワークに侵入し、最終的にランサムウェアを展開する可能性があります。
  • ランサムウェア事件:我々は、2020年6月から10月までの間にランサムウェア攻撃を受けた日本の組織の数は少なくとも11に上ることを確認しました。被害者となったのは製造業界、建設業界、政府関連業界の企業であり、その企業規模は上位から順に年間収益1430億ドル、330億ドル、20億ドルとなっています。

2020年9月に販売されたネットワークアクセス—KELAが見たその100件の詳細

プロダクト・マネージャー ラビード・レイブ 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃が増加する一方で、アンダーグラウンドのフォーラムで売買されるネットワークの初期アクセスの数も日々増加しており、もはや初期アクセスはランサムウェアオペレーターが最初の侵入地点として利用する選択肢の一つになりつつあります。KELAは、初期アクセス・ブローカーに関する調査を終えた後、初期アクセス売買活動の全体像を構築するため、2020年9月に売買されたアクセスの一部を分析しました。

重要なポイント

  • ネットワークの初期アクセスとは、侵害された組織のコンピューターにリモートでアクセスする資格情報や権限、手段の総称です。そしてその初期アクセスを販売する脅威アクター、つまり初期アクセス・ブローカーは、日和見的なキャンペーンと標的型攻撃者であるランサムウェアオペレーターを結び付ける役割を果たしています。
  • KELAは、20209月単月でネットワークの初期アクセスが100件以上売り出されたことを確認しました。これは、2020年8月と比較すると3倍の件数であり、希望販売価格の合計は50万ドルを超えています。
  • 売り出されたアクセスのうち少なくとも23%については売買取引が成立しており、販売した脅威アクターらは合計で9万ドル近くを手に入れたことが報告されています。
  • KELAは、最も高額なアクセス5件のリストを作成し、販売した脅威アクターらのTTPを調査する一方で、アクセスの販売価格は被害者の収益及びアクセスに付与された権限のレベルに連動するとの仮説を検証しました。ドメイン管理者レベルのアクセスの場合、ユーザーレベルのアクセスよりも25%から100%高額な価格で取引されている場合があります。
  • 初期アクセス・ブローカーがサイバー犯罪コミュニティで繰り広げる活動は、脅威アクターらの内部事情を浮き彫りにする貴重な情報源です。ネットワークの防御を担当するIT・セキュリティ担当部門が脅威の情勢について理解を深め、それに応じた防衛メカニズムの優先順位付を行うためには、こういった情報を活用することが重要です。また、初期アクセス・ブローカーがネットワークへのアクセスをランサムウェア・アフィリエイトに引き渡すプロセスは実質的に2つのパターンがあります。脅威ハンティングや敵対的シミュレーションを行う上で、極めて重要な意味を持つTTPと言えるでしょう。

攻撃すべきか、せざるべきか — アンダーグラウンドのエコシステムで医療セクターを取り巻く議論

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やサイバー犯罪サイトの投稿、会話を調査しました。

攻撃すべきか、せざるべきか — アンダーグラウンドのエコシステムで医療セクターを取り巻く議論

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

ランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やダークネットの投稿、会話を調査しました。

初期アクセス・ブローカーのツールボックス – リモート監視&管理ツール

プロダクト・マネージャー ラビード・レイブ 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

2020年10月8日更新情報:ゾーホー社の声明を掲載

  • 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM(リモート監視・管理ツール)が実入りのよい標的となっています。
  • KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。
  • 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

初期アクセス・ブローカーのツールボックス – リモート監視&管理ツール

プロダクト・マネージャー ラビード・レイブ 脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

2020年10月8日更新情報:ゾーホー社の声明を掲載

  • 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM(リモート監視・管理ツール)が実入りのよい標的となっています。
  • KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。
  • 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

教育セクターにおけるサイバー犯罪の増加―パートII

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン

2020年度の新学期の準備はこれまでとは異なり、世界中の生徒達は同級生とオンラインで再会するために準備を整えています。従来、新学期の準備といえば登校初日に向けてお洒落な文房具を購入したり、完璧な服を準備する等が挙げられますが、今学期の準備においては皆、家庭で快適にオンライン学習を行うための環境整備に投資しています。その一方で、新学期がリモート体制で始まることを受け、学校のIT担当者らは生徒や職員に対するサイバーセキュリティ教育を今年最大の関心事項として扱うとともに、教育機関を攻撃しようと狙うサイバー犯罪者らの脅威を阻止することに重点を置いています。

前回のブログ「教育セクターにおけるサイバー犯罪の増加」では、教育セクターの組織を狙う脅威アクターらの全体的な関心について調査するとともに、我々がアンダーグラウンドのエコシステムで確認した未遂の攻撃事例を数件取り上げました。また、教育機関を標的とする脅威のレベルについて、一般的な理解を確立するための重要なポイントにも言及しました。そして今回私達は、世界中の学校が授業を再開するに伴ってリスクが増加していることを受け、再びこのテーマを取り上げることにしました。

学校は、現在新型コロナウイルスの感染者数増加に対応するべく苦戦を強いられていますが、今度は新学期初日からリモート体制で使用するオンライン学習プラットフォームを、サイバー攻撃などの事件から守るべく戦わなければなりません。そして、まさにそういった状況を体現したともいえる事件が、フロリダ最大学区の公立学校で発生しました。犯人は16歳の学生であり、アンダーグラウンドの世界でいえば初心者レベルの脅威アクターです。年若い初心者レベルの脅威アクターが大規模な学校への攻撃を成功裏に治めたという今回の事件は、より洗練された経験豊富な脅威アクターも攻撃を計画し、実行に移す可能性があることを示唆しています。