サイバー犯罪社会のアクター達がゲーム業界に仕掛ける「脅威のゲーム」

プリセールス・エンジニア アルモグ・ズースマン

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

ゲーム業界は、コロナウイルスの流行による恩恵を受けた業界の一つです。外出自粛が始まって以降、多くの人々が屋内で楽しめる趣味を模索する中、オンラインゲームに注目が集まっています。そしてゲームソフトやゲームアプリの購入数とプレイヤーの増加により、オンラインゲーム業界の収益は2022年までに1960憶ドルに達すると予想されています。しかし、このゲーム業界における著しい成長が、新たな標的を探すサイバー犯罪者らの関心を引き付けています。セキュリティ対策を、業界の発展や利益と同レベルにあるべき優先事項として扱っておらず、その上有望な前途が待ち受けている新興業界ほど、彼らにとって最適な標的は他にありません。つまりゲーム業界は、金融業界のように何兆ドルもの評価を受けているわけではありませんが、利益を重視するサイバー犯罪者の多くが重要なポイントとする「利益の増大」と「プロセスの簡素化」の2点をクリアしているのです。

コロナ禍においてゲーム業界を狙う脅威の勢力図を評価するにあたり、我々は大手ゲーム企業の従業員や社内システムを脅かす恐れのあるリスクについて調査を行いました。今回のブログの重要なポイントは、以下の通りです。

  • KELAは、ゲーム会社のネットワーク(特に開発者用リソース)への初期アクセスに対する需要と供給について、複数の事例を確認しました。
  • また、ゲーム会社の従業員及び顧客に関連するアカウント約100万件が侵害されており、うち半分が2020年中に売り出されていることを確認しました。
  • さらに、大手ゲーム企業の従業員に関連する資格情報が50万件以上流出している状況を検出しました。
  • ゲーム業界が成長するに伴い、同業界を狙う脅威の数も増加しています。ゲーム業界の企業は、サイバー犯罪コミュニティを積極的に監視して、価値あるインテリジェンスをリアルタイムで収集することにより、自らのアタックサーフェスを外部者の視点で確認し、サイバー犯罪者らのもたらす脅威を軽減することができるでしょう。



用語

ゲーム業界を狙う脅威と、それらの脅威が引き起こしうる結果に話を進める前に、今回のブログに頻出する3つの用語について解説します。

  • ネットワークへの初期アクセス – 侵害された組織のコンピュータへのリモートアクセスを指す、広義の用語です。初期アクセスを販売する脅威アクターらは初期アクセス・ブローカーと呼ばれており、彼らは場当たり的に活動しています。そしてその場当たり的な侵害活動で入手した初期アクセスを、標的型攻撃者であるランサムウェアオペレーターらに提供しています。
  • 不正侵入されたアカウント – アンダーグラウンドにある自動売買マーケット(Genesisなど)で販売されている資格情報やCookieのセッション、ブラウザのフィンガープリント技術などを指す用語です。通常、これらのアカウント情報は、バンキング型トロイの木馬やその他の情報窃取型マルウェアに感染した被害者のコンピュータから窃取されます。窃取されたアカウントは、RDPやVPN製品等、標的とする組織のネットワーク内で使用されているツールやソフトウェアにアクセスできる種類のものもあれば、それに加えて他者にアクセス権を付与することが可能なものもあります。洗練されたアクターらは、こういった「不正侵入されたアカウント」を活用して、標的とする企業のネットワークへの初期アクセスを手に入れることが出来るのです。
  • 漏洩した資格情報 – アンダーグラウンドでは、侵害された様々なデータベースから収集された資格情報が常時取引され、流通しています。ほとんどの場合、それらのデータベースには個人や企業の電子メールアドレスに加え、関連するパスワード(平文パスワード等)が含まれています。漏洩した資格情報が脅威アクターらの手に渡った場合、彼らはそれらの資格情報を利用して企業内のシステムやツールにアクセスし、アカウントの乗っ取りやソーシャルエンジニアリング、フィッシング、マルウェアを拡散するキャンペーン等、さらなる「悪意ある活動」を展開することが可能となります。

これらの脅威は、組織に対する不正アクセスを目的とした攻撃チェーンの中で、単独で使用される場合もあれば、組み合わせて使用される場合もあります。


需要と供給: ゲーム会社へのアクセスにこだわり、探し求める脅威アクター達

我々はこの2カ月間、ゲーム会社のネットワークへのアクセスを探し求める様々なアクターを観察しました。
ゲーム会社のネットワークへの初期アクセスに対する需要を浮き彫りにしている完璧な例として、ロシア語話者のアクターが投稿したネットワークアクセス及びデータベースに関する「欲しい物リスト」が挙げられます。このアクターは、Xbox(Microsoft)や任天堂、Qualcomm、Appleの開発者用ネットワークへのアクセスに興味があることを明確に記載していました。

某脅威アクターが「developer.企業名.com」または類似のリンクなど、ゲーム会社の開発者用リソースへのアクセスに興味があることを語る投稿


別の事例も挙げてみましょう。12月18日、某脅威アクターがハッカーフォーラムで、日本の大手ビデオゲーム開発会社のデータを売りに出しました。この会社については先日、「コーエーテクモ」であることが公表されています。同社のデータとして売り出された商品の中にはFTPの資格情報も含まれており、この事例ではネットワークへのアクセスではなく、同社のネットワーク環境へのアクセスポイントが販売されていました。なお、このアクターが投稿したサンプルデータには電子メールアドレスが含まれており、我々はそれらの電子メールアドレスが実際に同社のサーバーから2020年3月に流出したものであること、そしてその後Cit0day(不正アクセスにより入手したデータベースの情報をサブスクリプション制で提供するサービス)で提供されていることを確認しています。上述した通り、このアクターは当初、コーエーテクモ社のデータの一部をハッカーフォーラムで商品として売り出しました。しかし、その数日後、今度は自らが保有している同社データの全てを同じハッカーフォーラムで無料にて公開しました。

さらに別の事例では、アンダーグラウンドにあるロシア語話者のフォーラムで、「大手ゲーム会社へのアクセスを購入する用意がある。国については特にこだわりなし。」と発言するメンバーの存在が確認されています。この人物は、開発用に使用されるサーバーやレポジトリへのアクセスについて特に興味があると述べています。開発用サーバーやレポジトリへのアクセスは、様々なアンダーグラウンド・マーケットで頻繁に売買されており、これについては後続のセクションで詳述します。

「ゲーム会社の開発者達がコードを保存しているGitHubや類似のリソース又は開発用サーバー」へのアクセス提供を求める脅威アクターの投稿


興味深いことに、上記メッセージが投稿されたその4日後、同じ人物が今度はラテンアメリカにあるオンラインゲーム販売会社のサーバーへのアクセスを売りに出しました。この2つの投稿にある内容は、互いに全く関係のない出来事である可能性も考えられます。例えば、この人物が開発者用リソースへのアクセスを探しつつ、それとは別の活動としてラテンアメリカのゲーム販売会社を侵害し、そのアクセスを売りに出したという可能性が考えられます。一方で、この人物が何らかのアクセスを購入し、購入したそのアクセスに手を加えてサーバーへのアクセスとして販売したという可能性も考えられます。これら2つの出来事に関連性があるか否かはさておき、これまでに提示してきた事例はすべて、脅威アクターらがゲーム産業に携わる企業を標的とすることに積極的であるという事実を示唆しています。

これまでゲーム会社へのアクセスを購入しようとしていた脅威アクターがゲーム会社のサーバーへのアクセスを販売する投稿


我々が観察したところ、初期アクセス・ブローカーらは上記以外にも、ドイツのオンラインゲーム開発企業へのアクセス(アクセス方法は不明)や、某大手ゲーム開発企業が利用しているAWSに類似したクラウドストレージソリューションへのアクセス等も販売しています。

ドイツに拠点を置くオンラインゲーム開発企業へのアクセスを販売する投稿


大手ゲーム開発企業のクラウドストレージソリューションへのアクセスを販売する投稿


我々が、クラウドストレージソリューションへのアクセスを販売していた脅威アクターと非公開のやり取りを行って確認したところ、この脅威アクターは同ソリューションへのアクセスについては現在販売していないと回答しました。そしてその代わりとして、日本の大手ゲーム開発企業のネットワークへのアクセスを提示してきました。代替品として提示されたこのアクセスは、脅威アクターとの非公開の会話の中だけでその存在が判明したものであり、サイバー犯罪サイトで公開されている情報の中には存在していない商品です。その事実を踏まえると、実際に存在する脅威の数は、私達が目にするよりもはるかに多いと推測することができます。


供給: 不正侵入されたアカウント

通常、不正侵入されたアカウントの情報は、バンキング型トロイの木馬や情報窃取型マルウェアに感染したコンピュータ(ボット)から収集されます。感染したボットは自動売買ショップで販売されており、さらにそういった自動売買ショップには日々新たなボットが商品として追加されていくため、今日、脅威アクターらは様々なリソースへ非常に簡単にアクセスすることが可能となっています。そしてその一方で、被害者となる人々のコンピュータは、企業のポータルから従業員用の社内システムやプラットフォーム、ソーシャルメディアアカウント、子供の学校のポータル、銀行口座、その他様々なサービスの資格情報を保持している可能性があります。つまりボットマーケットは、脅威アクターがワンクリックしてボット1台につき数ドル支払うだけで、彼らが望む様々なサービスにアクセスできるよう支援しているのです。

KELAは、不正侵入されたアカウントを販売しているアンダーグラウンドの主要マーケットをこの2年半にわたり監視してゆく中で、標的となりうるゲーム業界のトップ企業25社の従業員用リソースや顧客用リソースのアカウント約100万件が侵害されている状況を確認しました。また、それらアカウントの半分は2020年中に売りに出された事も確認しました。

ここで重要なポイントは、ゲーム業界トップ25社のうち、ほぼすべての企業の社内システムや社内ツールで使用されているアカウントが、不正侵入されたアカウントとして検出されたという事実です。いずれのシステムやツールも従業員が業務で使用するためのものであり、管理パネルやVPNJiraインスタンス、FTPSSO、開発関連の環境など、例を挙げてゆくときりがありません。以下に示す事例でもお分かりいただける通り、攻撃を試みようとするアクターらはたった数ドルを支払うだけで、企業ネットワークの中核部分にアクセスすることが可能となるのです。

情報窃取型マルウェア「Vidar」が収集した開発者関連業務で使用されるJiraの資格情報。大手ゲーム会社の社内システムの一部が侵害されている可能性があることがうかがえる


情報窃取型マルウェア「AZORult」が収集した管理者関連の資格情報。大手ゲーム会社の社内システムの一部が侵害されている可能性があることがうかがえる


情報窃取型マルウェア「Vidar」が収集したVPN及びSSOの資格情報。大手ゲーム会社の社内システムが侵害されている可能性があることがうかがえる


我々は、過去3カ月の間でゲーム会社に対するランサムウェア攻撃を4件確認しました。うち3件は公に報道された事件ですが、Sodinokibi(REvil)が取材のビデオで発言した内容を踏まえると、もう1件、有名なゲーム会社が攻撃を受けた可能性があります。

最近攻撃を受けたゲーム会社で使用されているVPNWebサイト管理ポータル、管理者ツール、Jira、その他様々な社内システムの資格情報は以前からサイバー犯罪サイトで売りに出されており、攻撃を目論むアクターらは、攻撃に先だってそれらの資格情報を購入することが可能となっていました。さらに我々は、攻撃者に購入されてしまえばすぐに悪用されるであろう、機密性の高いアカウント情報を多数保持したボット(感染したコンピュータ)が売りに出されている情報を検出しました。このボット1台だけでSSO、Kibana、Jira、Adminconnect、Service-now、Slack、VPN、Password-manager、Poweradminなど多数の資格情報を保有していたことから、企業で管理者権限を持つ従業員のコンピュータがボット化したものと思われます。非常に価値の高いこのボットは、10ドルにも満たない価格で販売されていました。

ゲーム企業4社に対して行われた攻撃のいずれかと、上記マーケットで販売されているボットのいずれかを直接関連づけることは不可能ですが、上述の事態は、脅威アクターらがたった数ドルを投資するだけで機密性の高い社内システムを悪用できること、そして悪用された場合のリスクがどれほど大きなものになりうるかを浮き彫りにしています。


シナリオ:サイバー攻撃における「不正侵入されたアカウント」の活用方法

まず最初にリスクを理解していただくため、不正侵入されたアカウントがアンダーグラウンドの自動売買ショップに売り出された後、どのようにしてランサムウェア攻撃へとつながってゆくのかを簡単に解説します。

数年前までは、脅威アクターらはある程度の時間を偵察活動に費やし、被害者を慎重に選んだ後、複数のツールを用いて標的とする企業で稼働しているRDPサーバーにアクセスする必要がありました。それが今では、アンダーグラウンドのマーケットにアクセスしてRDPの資格情報を保有するボットを購入するだけで良いのです。(数あるリモートアクセスマーケットのいずれかにアクセスし、企業用のRDPサーバー複数台を数百ドルで購入するという方法もあります)

次に、攻撃者はそれらの資格情報を調査して、「興味をそそる」と思われるもの、すなわち巨額の売り上げを誇る大企業(その他、政府組織等、ランサムウェアオペレーターらと交渉することなく身代金を支払うと思われる業界の組織も恐らく標的に含まれます)のネットワークにアクセスできると思われる資格情報についてさらに調査を進めます。そして最終段階では、初期アクセスを手に入れるために、特権昇格や追加ツールのインストールなどを試みます。

上記の段階を経て特定の企業への初期アクセスを手に入れた後、通常、攻撃者は次のいずれかを選択します。

  • 初期アクセスを使用して、自らの手で企業のネットワークにランサムウェアを展開する
  • より組織的な犯罪の一環として、ランサムウェアを展開するランサムウェア・アフィリエイトに、初期アクセスを販売する

ただしランサムウェアを展開するという行為は、あくまでサイバー犯罪者らが試みるサイバー攻撃の一つであるにすぎません。サイバー犯罪者らは、初期アクセスを使用して企業に対するスパイ行為や詐欺行為、その他被害者に深刻な経済的損失をもたらしうる活動など、様々な犯罪を引き起こすことができるのです。


供給: 漏洩した資格情報

残念ながら、企業のエクスポージャーとしては相変わらず従業員が主なエントリポイントとなっています。しかしその一方で、第三者機関の受けたデータ侵害により漏洩した企業の資格情報もエントリポイントとなっており、我々の活動でも事例として分析を進める対象となっています。我々は、2020年12月の時点で、ゲーム業界のトップ企業25社の従業員に関連する資格情報が50万件以上漏洩していることを確認しました。アンダーグラウンドのエコシステムでは、多くの場合、そういった資格情報を無料で入手することが可能となっています。その結果、攻撃者が利益を手に入れるべく攻撃を展開する際に、それらの資格情報を悪用する可能性が生まれています。

さらに我々は、こういった資格情報の中には幹部職員の電子メールアドレスや、社内で重要な業務(支払い請求や購買、管理、人事関連、サポート、マーケティング等)を担うチャネルの電子メールアドレスも含まれていることを確認しました。

我々のソリューションでは、搭載されたキャッシュ機能を活用して、流出した資格情報に関する更なる背景情報(特定のメールアドレスに関連しているパスワード、特定の電子メールアドレスの過去の流出状況、その他)を得ることが可能となっています。我々は様々な検証作業を定期的に実施していますが、ある検証結果(下図)を見てみると、残念なことにパスワードの再利用が今でも大量に発生していることが分かります。


我々が行った調査では、同一の電子メールアドレスが、多数のデータ侵害やコレクションのダンプで流出していることが判明しました。(コレクション:アンダーグラウンドに流通している個人情報のデータセット。コレクションは現在#1から#5まであります)また、この電子メールアドレスの所有者は、会社の電子メールアドレスを使って第三者機関のプラットフォームやウェブサイトにログインする際、すべて同じパスワードを使用している可能性があります。残念ながら、複数のサービスにおける同一パスワードの使い回しは広く一般的に行われており、まさに「人間の脆弱性」と言えるでしょう。そして脅威アクターらは、この「人間の脆弱性」を継続的に悪用し、目的とするサービスにアクセスしているのです。


シナリオ:漏洩した資格情報は攻撃プロセスの第1レベル

フィッシングは、依然として主要な攻撃ベクトルの1つであり、Ubisoftに対する攻撃でもフィッシングが攻撃ベクトルであったと思われます。このセクションでは、漏洩した資格情報を用いることでどれほど簡単に大規模攻撃を展開することができるのか、実例を挙げてご説明します。サイバー犯罪社会では、コンボリスト(電子メールアドレスとパスワードがセットになったリスト)や、過去のデータ侵害を基に作成された資格情報のデータベースが多数出回っており、その存在はもはや目新しいものではありません。攻撃者は、次の標的を探し求める偵察段階を経て、必要な電子メールアドレスを手に入れることさえ出来れば、その電子メールアドレスを利用して様々な攻撃を展開することが可能となります。
その例を以下に挙げてみましょう。

  • 被害者の職場や個人情報に基づき、それぞれの標的に合わせてカスタマイズしたソーシャルエンジニアリングやフィッシング攻撃—その目的はもちろん、関心のあるサービスにアクセスするために必要な資格情報を手に入れ、標的のネットワークへの侵入口を発見し、特権を昇格して水平移動することです。
  • ブルートフォース攻撃や辞書攻撃。平文のパスワードを使用したデータベースに対して成功率の高い攻撃手法—脅威アクターは、これらの攻撃を経て興味のあるサービスにアクセスした後、ネットワーク内を水平移動して最終的にランサムウェアを展開します。

 

従って、漏洩した資格情報のデータベースは、攻撃者が様々な攻撃を実行する際に、非常に高い確率で有益な情報として利用されると言えます。上記でご説明した例は、我々が日常的に検出している種類の脅威ですが、従業員に対してセキュリティ教育を行い、攻撃者が組織のネットワークに侵入する際の様々な手法について、彼らに確実に理解させることが重要であるその理由を示す良い例とも言えるでしょう。


「標的」の教育—サイバー脅威を縮小するためにゲーム業界の企業がとるべき対策

今回のブログでご紹介した数々の事例は、ゲーム業界において脅威アクターらがサイバー犯罪に悪用可能なリスク、すなわち脅威がますます増加していることを示唆しています。そして月日が流れるとともに、これからも新たな業界が、次々にサイバー犯罪の主要ターゲットとして狙われるようになるでしょう。通常、サイバー犯罪者らの間で新たな標的に対する人気が高まる理由は、その標的が多額の資金を動かしているからに他なりません。こうした理由を背景に、恐らく今後も様々な業界が、サイバー犯罪者らの主要な標的として新たに浮上すると思われます。企業や組織はこうした状況を踏まえて、脅威アクターらに対抗する準備を整えておく必要があるでしょう。

またゲーム業界の企業は、すでにサイバー犯罪者の関心を集める新たな標的となっているため、一刻も早く行動に移る必要があります。その前段階として、まず従業員に対し以下をはじめとするセキュリティ教育を行うことをお勧めします。

  1. 上述のリスクに関する従業員の認識の向上
  2. パスワード変更の徹底
  3. 想像されにくいパスワードの使用と多要素認証の導入

 

上記に加え、ゲーム業界の企業は、自社のあらゆる資産が確実に保護されるよう、様々な対策に投資する必要があるでしょう。投資すべき最も重要な対策は、自らの資産を継続的に監視し、サイバー犯罪者の目線で自社の「隙」を確認することです。サイバー犯罪社会全体を対象として自社資産に関する会話や投稿を監視することにより、自社の露出状況(すなわちリスク)をより正確に評価し、セキュリティ業務の優先順位を決定するために必要なインテリジェンスを手に入れることが可能となります。

私達はこれまで調査を進めてくる中で、攻撃のみならず攻撃者達自身もより洗練されてきており、それぞれの被害者に合わせた攻撃を展開していることを確認しました。また、一部の攻撃者達は、被害者の活動や業界に関連する特定のデータや情報を調べ上げたうえで、過去に成功した攻撃手法を新たな被害者で再現しようと試みています。我々は、ゲーム業界の収益が増加の一途をたどり続けるにともなって、同業界を標的とする脅威や攻撃の検出件数も増加するであろうと予想しています。しかしそういった状況に置かれているとしてもゲーム業界の企業は、サイバー犯罪社会における自社資産の露出状況を常時監視することで、脅威を事前に検出し、リスクを明確に洗い出し、攻撃者に悪用される前に自社環境の潜在的な弱点を把握することができるでしょう。