サイバー犯罪業界動向パート1 リモートアクセスのアクセス権を購入して侵入が71%。IAB活発化。
サイバー犯罪は純粋な金目当てから国家支援の別目的のものなど、さまざまな目的とアクターが入り乱れている。組織化が始まったのは2000年代初期のRBN(ロシアン・ビジネス・ネットワーク)がおそらく最初で、その後さまざまな組織が生まれては消えていった。
表と裏のいずれのネットビジネスも技術と規模の変化にともなって分化と統合を繰り返す傾向がある。2019年頃からサイバー犯罪の機能分化による産業化が進み、その後プラットフォーム統合へのフェーズに移行した。現在、サイバー犯罪産業は統合に向かっていると考えてよいだろう。
2つの方向での統合化が進んでいる。ひとつは機能的な統合化、もうひとつは小規模の組織をより規模の大きな組織が飲み込む形の統合化だ。
今回はサイバー犯罪業界動向パート1としてIABを取り上げたい。サイバー犯罪業界動向シリーズは反響あれば続けますが、なかったらやめるかも。次回の予定はinfostealerです。
●IAB(Initial Access Brokers)の増加
サイバー犯罪産業は機能別にみると、Infostealer、IAB(Initial Access Brokers)、マーケットプレイス、RaaSなどさまざまに分化している。特に注目されているのはIABである。いくつかのサイバーセキュリティ企業がIABの活動が活発化していることを報告している。たとえばKELAの「The Cybercrime Inferno:2022 Annual Report on Ransomware, Extortion, and Network Access Sales」やRecorded Futureの「Initial Access Brokers Are Key to Rise in Ransomware Attacks」、などがある。また、CrowdStrikeは「2023 GLOBAL THREAT REPORT」の中でアクセスブローカーブームと呼んでいた。
もっとも新しいGroup-IBのレポートでは2021年下半期から2022年上半期の広告(サイバー犯罪者も広告を出す)を分析した結果、企業へのアクセスに関するものは2,348件で前期1,099件の約2倍だった。CrowdStrikeのレポートでも同様の指摘があり、アクセスに関する広告が2,500件以上確認され、2021年と比較して112%の増加となっている。
そして2021年下半期~2022年上半期の期間でブローカー数は380社となり、前期の262社の1.5倍とった。327社が新規の販売業者なので入れ替わりの早さがわかる。
企業向けアクセス権の最低価格は5ドルで、最高価格は数十万ドル、平均価格は約2,800ドルだった。前期の平均価格の6,500ドルの半分以上だ。
●ターゲットはアメリカ、製造業
もっともターゲットにされていた国はアメリカで2位以下を大きく引き離している。日本はIABの商材としてはまだだいぶマイナーだ。業種では製造業(、金融業、不動産が多い。
活発に活動していたIABはNovelli、orangecake、Pirat-Networks、SubComandanteVPN、zirochka。
●販売の中心はリモートアクセス(RDP、VPNアカウント)
多くのレポートが指摘しているのはRDP、VPNアカウントなどの販売が多いことだ。さらにその中でも管理者権限が多い。コロナによってリモートワークが増加したことがその背景にある。
日本においても同様の状況が見られる。2023年3月16日に警察庁が公開した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」でRDP(19%)とVPN(62%)からの侵入が多かったと報告されている。情報処理推進機構(IPA)の「2023年情報セキュリティ10大脅威」では「テレワーク等のニューノーマルな働き方を狙った攻撃」が5位になっている。
●アクセスを買って侵入するランサムウェア
ランサムウェアが相変わらず猛威を振るっているが、以前のようにメールなどを使ってマルウェアを送り込む手口からマーケットでIABからアクセス権を買って侵入することが多くなってきた。IAB増加やアクセス権の価格低下によってランサムウェアグループの行動も変化してきている。
KELAのレポートでは購入したアクセス権を利用したと思われる複数のランサムウェア攻撃(Blackbyte、Quantum、Hive、Alphv、Sodinokibiなどによる)を確認している。たとえばオーストラリア保険会社Medibankへの攻撃ではアクセス権がTelegramのプライベートチャンネルで販売された後に攻撃されたことがわかっている。
CrowdStrikeのレポートによれば全体の71%がマルウェアを利用しない侵入に変わっている。
また、複数のグループでひとつのIAB業者を共有したり、業者の統合の動きも出ている。たとえばランサムウェアグループMountLockerとPhobos、およびAPTグループStrongPityがZebra2104と呼ばれる初期アクセスブローカーを共有している。
好評発売中!
『ネット世論操作とデジタル影響工作:「見えざる手」を可視化する』(原書房)
『ウクライナ侵攻と情報戦』(扶桑社新書)
『フェイクニュース 戦略的戦争兵器』(角川新書)
『犯罪「事前」捜査』(角川新書)<政府機関が利用する民間企業製のスパイウェアについて解説。
出典
2023 GLOBAL THREAT REPORT
https://go.crowdstrike.com/2023-global-threat-report.html
HI-TECH CRIME TRENDS 2022/2023、https://www.group-ib.com/resources/research-hub/hi-tech-crime-trends-2022/
The Cybercrime Inferno:2022 Annual Report on Ransomware, Extortion, and Network Access Sales
https://ke-la.com/wp-content/uploads/2023/01/KELA-RESEARCH_THE-CYBERCRIME-INFERNO_2022-ANNUAL-REPORT.pdf
Initial Access Brokers Are Key to Rise in Ransomware Attacks、https://www.recordedfuture.com/initial-access-brokers-key-to-rise-in-ransomware-attacks
Behind the Rise of Ransomware、https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/behind-the-rise-of-ransomware/
Sophos 2023 Threat Report、https://www.sophos.com/en-us/content/security-threat-report
Talos2022、https://www.cisco.com/c/dam/m/ja_jp/blogs-assets/talos-talos-year-in-review-2022/yir2022-external-final.pdf
Ransomware Trends 2021: Industrialized Cybercrime is the New Normal、https://www.thefastmode.com/services-and-innovations/21561-ransomware-trends-2021-industrialized-cybercrime-is-the-new-normal
拡大するサイバー犯罪経済を理解する、https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/blog/security/Into-the-Web-of-Profit_Bromium_Jpn.pdf
次世代ダークマーケットは犯罪者にとってのAmazonやeBay的な存在、https://eset-info.canon-its.jp/malware_info/trend/detail/190214.html
サイバー犯罪エコシステムの成熟化と日本を取り巻く脅威の現状、https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-intelligence10.html
令和4年におけるサイバー空間をめぐる脅威の情勢等について、https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
2023年情報セキュリティ10大脅威、https://www.ipa.go.jp/security/10threats/10threats2023.html
本noteではサポートを受け付けております。よろしくお願いいたします。