KELAは、日々様々な企業や機関の皆様と出会い、連携して業務を行っています。それぞれの企業や機関の所在地(地域)や使用言語は多岐にわたりますが、皆様からは一様に「KELAはスペイン語やフランス語、アラビア語、その他あらゆる言語のサイバー犯罪ソースにも対応しているのですか?」との質問をいただきます。まずこの質問に対する答えは、「イエス(必ずしもイエスと言えない場合もありますが)」ですが、この答えの背景には「企業を狙う脅威が標的を選ぶ際、その標的企業がどれほど大きな(又は小さな)規模であろうと、そしてどの業界に属していようと、言語や地理を理由に選択肢を制限することはない」という現状があります。
企業やその顧客を狙うサイバー犯罪において特に興味深い点は、攻撃を実行する犯罪者が組織を脅かすのに、被害者(組織)の同胞である必要もなければ、被害者(組織)と同じ言語を話す必要もないということです。
ここで、有名なサイバー犯罪フォーラムをいくつか取り上げ、該当する事例をみていきましょう。サイバー犯罪フォーラムでは、様々なスキームについて議論が交わされ、ネットワークアクセスやデータベースをはじめとする「商品」が金銭的目的で取引されています。例えば、フォーラム「Exploit」や「XSS」はロシア語話者の脅威アクターが運営していますが、彼らが仲間の外国人サイバー犯罪者とやり取りする時は英語を使用しています。またこれらのフォーラムでは、ユーザー(サイバー犯罪者)の居住地に関係なく、世界中の企業をはじめとする様々な標的や被害者(組織)について議論が交わされています。そして我々が初期アクセス・ブローカーのトレンドを調査した結果でも、ネットワークアクセスを介して侵害された企業が多い国の第1位は今なお米国であり、その後に英国、ブラジル、カナダ、インドが続いています。
ロシア語話者が大半を占めるサイバー犯罪フォーラムExploitのスクリーンショット。脅威アクターらが、被害組織の所在地や使用言語に関係なく、
世界中の企業のアクセスをロシア語と英語の両言語で売りに出している様子がうかがえる。
ExploitやXSSと類似のフォーラムには、悪名高い「RaidForums」の後継とも呼ぶべき「BreachForums」があり、RaidForumsが運営されていた時と同様にBreachForumsも英語で運営されています。またこのフォーラムでは、世界中の企業から窃取された様々な言語のデータベースが売りに出されていますが、同フォームを利用するユーザーの大半は英語を使用しています。
脅威アクターが、フランスや日本、その他海外の組織から窃取したデータベースをリークしている投稿(上記はKELAにて投稿を文書化)
また、アンダーグラウンドの自動マーケットプレイスでは、RDPサーバーのアクセスやオンラインショッピングのアカウント、マルウエアに感染した端末から収集された資格情報など、多岐にわたる商品やサービスが販売されており、これもサイバー犯罪のエコシステムの「国際性」を表している一例と言えるでしょう。こういったフォーラムやマーケットプレイスのユーザーインターフェースが英語になっているおかげで、サイバー犯罪者がどこにいようと、そして被害組織の所在地がどこであろうと、世界中のあらゆる場所から欲しいサービス(多くの場合は、企業のネットワークアクセスや電子メールの資格情報)を購入することができるようになっているのです。
その一例として、自動マーケットプレイス「xLeet(x1337とも表示)」について取り上げてみましょう。xLeetには、企業の資格情報に特化した「ビジネス」セクションがあり、このセクションではあらゆる地域や国から窃取された、あらゆる言語の商品が売買されています。またこのセクションでは、企業がOffice365で使用している電子メールの受信箱へのアクセスが、10~30米ドルで売り出されており、こういった商品はスパム攻撃やBEC(ビジネスメール詐欺)、その他様々な攻撃に利用される可能性があります。このセクションのみならず、同マーケットプレイスではあらゆる地域や国から窃取された商品を扱っており、インターフェースは英語で表示されています。以下は、xLeetで売り出されていた商品の一部を抜粋したスクリーンショットですが、インターフェイスが英語で表示されるこのプラットフォームで、台湾やドイツ、フランス、その他の国々のアカウントが、それらの言語を話さないであろうアクターによって売り出されています。
言語がサイバー犯罪者の壁となっていない事実をさらに浮き彫りにするために、今度は英語やロシア語以外の言語で運営されているサイバー犯罪コミュニティをいくつか取り上げてみましょう。「CrimeNetwork」はドイツ語話者が集うサイバー犯罪フォーラムであり、ここでは、以下の投稿にあるような「ドイツ以外の国々に関連した商品」の売買リクエストが多数投稿されています。
ドイツ語で記載された投稿:「すぐに使用できるスペインのLa Caixaのアカウントを探している」(La Caixaはスペインの銀行財団)
その他の欧州系フォーラムとしては、ポーランド話者が集うサイバー犯罪コミュニティ「Cebulka」が挙げられます。同フォーラムでは、多岐にわたる「国際的」な提案や申し出が投稿されており、下の図に掲載されている「ランサムウエアプロジェクトで協力しあおう」という投稿もその一つです。このメッセージを投稿したユーザーは、ランサムウエアプロジェクトを実行するために、ドイツ語やロシア語、英語、その他の言語を話すチームメンバーを募集しています。
2022年2月、Cebulkaに掲載されたランサムウエアプロジェクトの協力を求める投稿
(KELAにて文書化:KELAのサイバー犯罪インテリジェンスプラットフォームのスクリーンショット)
欧州系以外では、一部の中国語話者用プラットフォームで中国語圏以外のデータが売り出されています。
中国語話者の集うマーケット「交易市场 Exchange」で売り出された、アルゼンチンの貸付会社のデータベース
これまでの事例からも分かる通り、サイバー犯罪者は学びを得たり、情報やサービスを共有・売買することのできる、活気あるコミュニティの一員になりたいと考えています。そういった彼らの思いを背景に、今やExploitやXSSでは拙いロシア語で書かれた投稿が散見され、RAMPには中国語で書かれたメッセージが投稿され、その他の言語で書かれた投稿があらゆるプラットフォームで確認されるようになっています(RAMPは、ロシア語話者のサイバー犯罪者用に立ち上げられたフォーラムですが、現在は中国語話者を取り込もうとしています)。
主に詐欺やカーディング商品を扱うフォーラム「WWHClub」で、米国市民150万人の個人情報を含んだデータベースが売り出されている投稿。
投稿はロシア語で記載されているが、ロシア語ネイティブが見ると、投稿者がロシア語ネイティブでないことは明らかである。
先の投稿に対し、ユーザー「ikaos」がわざわざロシア語や英語を使わず、Ploutos(先の投稿者)はこのデータベースを販売しているのかと質問している投稿
上述した数々の事例は、サイバー犯罪者が国際的に活動している状況をより明確に表しています。組織の皆様が自国のサイバー犯罪エコシステムについて精通し、調査や監視活動を行うことは重要ですが、そういった活動が、皆様を脅かす脅威のレベルを示唆する唯一の指標となるのではありません。皆様がサイバー犯罪防止ツールを選ばれる際には、サイバー犯罪の活動拠点がどこにあろうとも、そしてどの言語が使用されていようとも、サイバー犯罪活動の監視・追跡において利用するソースの質や妥当性こそが、皆様の組織を守る上で鍵となることを理解し、最も優先すべき基準とされるようご提案いたします。