CYBER THREAT INTELLIGENCE BLOG

2023年5月29日、ハッカーフォーラム「RaidForums」のユーザー約47万9,000人分の情報を含んだデータベースが、新たに立ち上げられたフォーラム「Exposed」に流出しました。RaidForumsは、不正アクセスの被害者となった組織から窃取されたデータを売買・公開・ホスティングする場として知られていましたが、法執行機関により押収され、閉鎖されました。その後、同フォーラムのユーザーは新たに立ち上げられたフォーラム「Breached（BreachForums）」に活動の場を移しましたが、そのBreachedも創設者であった人物の逮捕を受け、先日法執行機関により押収されることとなりました。 そして2023年5月、Breachedの後継になりうる場としてExposedが立ち上げられました。ただしExposedの所有者「Impotent」は、RaidForumsやBreachedの所有者とは関連の無い人物であると思われます。このImpotentこそがRaidForumsのデータベースを公開した人物でしたが、Impotentはこのデータベースの出所は不明であると語っており、他のサイバー犯罪コミュニティで活動しているユーザーも、RaidForumsの閉鎖後は法執行機関だけが同フォーラムのデータにアクセスできたのであれば、どのような経緯でデータベースが流出したのかと疑問を持っています。またその一方で、ExposedはRaidForumsのデータベースをマーケティングツールとして活用しており、新規ユーザーになってデータベースをダウンロードするよう呼びかけるバナーを掲げています（注：50ユーロを支払って上位ユーザーになると、同データベースをダウンロードするリンクが提供されます）。実際、このデータベースがExposedに流出して2日後には、同フォーラムのユーザー数が流出前日（5月28日）時点の約900人から3,200人超と3倍強にまで増加しました。 今回のレポートでは、我々がこのデータベースをインデックス化し、調査して得られた考察を詳述します。このデータベースはKELAのプラットフォームでもご確認いただけます（こちらのクエリをご利用ください）。今回流出したデータには、2015年3月から2020年9月にかけてRaidForumsでユーザー登録を行ったユーザーの電子メールアドレス、フォーラムで使用していたユーザー名、インスタントメッセージサービスで使用しているユーザー名、使用言語、IPアドレス、生年月日、フォーラムでの活動履歴、ログインキー、ソルトでハッシュ化したパスワードなどが含まれていました。 また、このデータベースを公開したImpotentの説明に記載されていたとおり、一部のユーザーに関する情報はデータベースから削除されていました。

脅威インテリジェンスアナリスト　ヤエル・キション   マネージドサービスプロバイダー（MSP）やマネージドセキュリティサービスプロバイダー（MSSP）は、多岐にわたるITサービスや円滑な事業運営に必要なサポートを提供しており、いまや多くの企業にとって重要な役割を果たしています。しかし同時に、1社を侵害してその資産を侵害するにとどまらず、潜在的被害者の数を増やすべく第三者も幅広く標的にしようと目論むサイバー犯罪者にとって、MSPは魅力的な標的となっています。本ブログでは、MSPやIT企業を標的とするサイバー犯罪エコシステムで活動する脅威アクターが、現在関心を寄せているトピックについて解説します。サイバー犯罪フォーラムでネットワークのアクセスを販売する脅威アクター（初期アクセスブローカー）は、積極的にMSPを侵害しているようです。「ネットワークアクセス」とは、様々な侵入ベクトルやアクセス権限、エントリポイントを指す広義な用語です。ネットワークアクセスとして売り出される「商品」としては、SQLインジェクション、リモートデスクトッププロトコル（RDP）の資格情報、管理者権限へ特権昇格する方法などが挙げられます。これらのネットワークアクセスが売り出された場合、まずネットワークの初期エントリポイントとして利用され、またその後は他のサイバー犯罪者によってさらなる攻撃に悪用される可能性があります。最も多く売り出されている商品の種類としては、RDPやVPNを介したアクセスが挙げられます。一方、それら商品を購入する側の脅威アクターも、地理や業界、収益などの属性を基に自らの理想とする被害組織の条件を定義しています。

脅威インテリジェンスアナリスト　ヤエル キション人気を博したサイバー犯罪フォーラム「RaidForums」が差し押さえの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached（別名BreachForums）」が誕生しました。脅威アクター「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっています。 ここで、RaidForumsについて振り返ってみましょう。まずRaidForumsのドメインが米国当局によって差し押えられ、さらにその後の2022年1月下旬には、同フォーラムに関与していた有名な脅威アクター3人が逮捕されました。この時逮捕されたのは、同フォーラムの創設者であり管理者でもあった「Omnipotent」と、同じく管理者を務めていた「Jaw」と「moot」です。米国司法省は、Diogo Santos Coelho（別名Omnipotent）と名乗るポルトガル国籍の人物がRaidForumsの所有者であるとして、このCoelho氏を共謀、アクセス・デバイス詐欺、加重個人情報窃盗の罪で起訴しました。起訴状では、Coelho氏及び他2名の管理者（Jaw及びmoot）が、RaidForumsのソフトウエアとコンピューターインフラストラクチャを設計・管理してデータベース取引を助長していたとされています。 そしてこのRaidForumsが閉鎖されてわずか数週間後、その後継となる新たなフォーラムBreachedが誕生しました。Breachedは、立ち上げからわずか6カ月で新たなデータベース取引プラットフォームとしての地位を確立し、今や8万2,000人を超える登録ユーザーを擁する規模に成長しました。KELAは、本当にBreachedがRaidForumsの後継となり、最も人気の高いデータベース取引サイトになったのかを調査するとともに、同フォーラムにおけるトップアクターの活動や、そこに見られるトレンドについて分析しました。

最高研究責任者　イリーナ・ネステロヴスキーKELAは、日々様々な企業や機関の皆様と出会い、連携して業務を行っています。それぞれの企業や機関の所在地（地域）や使用言語は多岐にわたりますが、皆様からは一様に「KELAはスペイン語やフランス語、アラビア語、その他あらゆる言語のサイバー犯罪ソースにも対応しているのですか？」との質問をいただきます。まずこの質問に対する答えは、「イエス（必ずしもイエスと言えない場合もありますが）」ですが、この答えの背景には「企業を狙う脅威が標的を選ぶ際、その標的企業がどれほど大きな（又は小さな）規模であろうと、そしてどの業界に属していようと、言語や地理を理由に選択肢を制限することはない」という現状があります。 企業やその顧客を狙うサイバー犯罪において特に興味深い点は、攻撃を実行する犯罪者が組織を脅かすのに、被害者（組織）の同胞である必要もなければ、被害者（組織）と同じ言語を話す必要もないということです。 ここで、有名なサイバー犯罪フォーラムをいくつか取り上げ、該当する事例をみていきましょう。サイバー犯罪フォーラムでは、様々なスキームについて議論が交わされ、ネットワークアクセスやデータベースをはじめとする「商品」が金銭的目的で取引されています。例えば、フォーラム「Exploit」や「XSS」はロシア語話者の脅威アクターが運営していますが、彼らが仲間の外国人サイバー犯罪者とやり取りする時は英語を使用しています。またこれらのフォーラムでは、ユーザー（サイバー犯罪者）の居住地に関係なく、世界中の企業をはじめとする様々な標的や被害者（組織）について議論が交わされています。そして我々が初期アクセス・ブローカーのトレンドを調査した結果でも、ネットワークアクセスを介して侵害された企業が多い国の第1位は今なお米国であり、その後に英国、ブラジル、カナダ、インドが続いています。

KELAサイバーインテリジェンスセンター近年、情報窃取型トロイの木馬は非常に人気の高い攻撃ベクトルとなっています。攻撃者は、情報窃取型トロイの木馬を使ってユーザー名やパスワードなどの「ログ」をはじめ、感染した端末に保存されている情報を窃取しており、窃取した後は「Russian Market」や「TwoEasy」、「Genesis」などの自動ボットネットマーケットや非公開の場でそれらの情報を販売しています。こういった「ログ」を脅威アクターに購入されてしまった場合、彼らが「ログ」の所有者の様々なリソースへアクセスすることが可能となり、組織にとってはデータ窃取やネットワーク内での水平移動、さらにはランサムウエアなどマルウエアの展開を実行されうる重大なリスクとなります。 サイバー犯罪フォーラムで宣伝されている情報窃取マルウエアのうち、アンダーグラウンドのマーケットプレイスで存在が確認されている人気の高い情報窃取マルウエアとしては、「RedLine」、「Raccoon」、「Vidar」が挙げられます。こういったいわゆる「コモディティタイプの情報窃取マルウエア」には依然として人気を維持しているものもありますが、KELAは、様々な条件下で情報窃取マルウエアの勢力図が変化しはじめていることを確認しました。地上の世界でロシアのウクライナ侵攻が続く中、アンダーグラウンドでは情報窃取マルウエアのオペレーターが自らのマルウエアの機能向上を迫られており、さらにそういった状況に金銭的動機が組み合わさった結果、新たな情報窃取マルウエアやサービスが誕生していました。 今回のレポートでは、現在活動している情報窃取マルウエアに焦点をあてるとともに、以前から存在していた情報窃取マルウエアの進化や、新たな情報窃取マルウエアの誕生について詳述します。

脅威インテリジェンスアナリスト　　エリーナ コルドブスキーロシアとウクライナは長きにわたり緊張関係にありましたが、2022年2月24日、ついにロシア軍がウクライナに侵攻する事態となりました。この侵攻が始まる直前、ロシアのウラジミール・プーチン大統領は、ウクライナがネオナチによって統治されているとの誤った非難を展開していました。また彼は、NATOがロシアの国家安全保障に対する脅威を形成していると主張し、ウクライナの加盟を禁止するようNATOに要請していました。 このようなロシアの挙動をうけて、多くの国々はロシアが西側諸国の組織や企業に対してサイバー攻撃を仕掛けてくる可能性があると推測し、米国にいたっては、NATOがロシアのサイバー攻撃に備えることができるよう「セキュリティ担当機関の幹部」を派遣しました。しかしこういった予想に反して、ロシアが大規模なサイバー攻撃を実行することはなく、ウクライナや欧州の国々が懸念していた大規模なサイバー攻撃は、過度な心配であったことが明らかとなりました。それでもロシアはウクライナの政府機関やインフラ、電気通信企業、その他の組織に対し、大規模な攻撃の代わりにDDoS攻撃やワイパー攻撃を実行しています。一方ウクライナは、自国防衛を目的として有志による「IT軍」を立ち上げ、今日にいたるまで世界中のハクティビスト組織とともにロシアの企業や組織を攻撃しています。 そしてこういった変化の波は、アンダーグラウンドのサイバー犯罪社会にも訪れています。以前は存在していなかった新たな違法サービスが登場し、政治に無関心であったはずのサイバー犯罪フォーラムで戦争に関する議論が交わされ、ハクティビストがロシアの有名なランサムウエアグループのソースコードを使用してロシアの企業を攻撃するなど、もはやサイバー犯罪社会の情勢は、これまでとは大きく様変わりしています。 今回のレポートでは、ロシアのウクライナ侵攻により、アンダーグラウンドのサイバー犯罪社会に生じた様々な変化を検証します。サイバー犯罪社会における繊細な地政学を理解し、現実社会に生じた危機がアンダーグラウンドのサービスやビジネスチャンスにどのような影響を与え、新たなトレンドを生み出すのかを理解する一助としてご活用ください。

KELAサイバーインテリジェンスセンター成功しているランサムウエア攻撃は、いずれも攻撃者が被害者に気付かれることなくネットワークへ侵入するところから始まっています。一部の攻撃者は、被害者組織のネットワークアクセスを秘密裡に入手していますが、サイバー犯罪フォーラムやマーケットで商品として販売されているアクセスを利用している攻撃者も存在します。 そういった「商品」の一部は初期アクセス・ブローカーが販売しており、彼らはランサムウエア・アズ・ア・サービス（RaaS）エコノミーの中で重要な役割を果たしています。初期アクセス・ブローカーは、不正アクセス先の組織が所有するコンピューターへのリモートアクセス （ネットワークへの初期アクセス）を販売しており、彼らの活動がネットワークへの侵入を著しく容易にしていると同時に、無作為に行われる場当たり的なキャンペーンを標的型攻撃につなげる役割を果たしています。またその一方で、ランサムウエアアクターも理想的な被害者像に合致するネットワークアクセスを求めて、サイバー犯罪フォーラムの商品を積極的にチェックしています。 今回のレポートでは、商品として売り出されたネットワークアクセスが攻撃の発端となり、またそのアクセス販売開始から1 カ月以内にランサムウエア攻撃が開始された事例を数件取り上げて解説します。

KELAサイバーインテリジェンスセンターランサムウエアブログのリストに掲載される被害者の数は、過去数年間で劇的に増加しています。また攻撃者たちの間で「二重恐喝」戦術が普及した現在、企業はコンピューターのロックを解除することに加え、データの公開を阻止するためにも金銭を支払わざるをえない状況に直面しています。KELAは、ランサムウエアグループのブログを定期的に監視しており、そこではランサムウエア攻撃を受けた被害者の名前やデータが公開されています。一方で、必ずしもランサムウエアを使用しているわけではないものの、同様のリークサイトを運営しているアクターも存在します。彼らは別の侵入方法を使ってデータを窃取し、そのデータを外部に公表する（または第三者に販売する）と言って被害者を恐喝することもあれば、他の攻撃者が窃取したデータを再販することもあります。さらには、過去のリーク情報や実際には存在しないリーク情報を使って詐欺とも呼べる恐喝行為を行うアクターも存在します。 こういった「オファー」の存在は、サイバーセキュリティ情勢に直接的な影響を及ぼすとともに広範にわたってノイズを生成し、サイバー脅威研究者が真の脅威に焦点を絞る上での妨げとなります。つまり、我々がソースを注意深く監視してあらゆる情報を額面通りに受け止める前に、まずソースそのものを検証することが非常に重要であるということです。今回のブログでは、我々が新たなソースを検証し、脅威のレベルを評価する方法について、以下のサイトを取り上げながら解説してゆきます。 Amigos Coomingproject Dark Leaks Market Quantum Groove

KELAサイバーインテリジェンスセンターKELAは、アンダーグラウンドのサイバー犯罪社会に広がるコミュニティやマーケットを継続的に監視しています。そして最近その監視活動の中で、攻撃者が窃取したユーザー情報を売買するマーケット「2easy」の活動が、さらに活発さを増していることを発見しました。2easyはアンダーグラウンドの中でも比較的新しいマーケットであり、自動化されたプラットフォームでサービスを提供しています。そこでは様々な脅威アクターが世界中のマシン（ボット）から収集したログ（データやブラウザに保存された情報）が売買されており、今日では約60万台のボットから収集された情報が同マーケットで売り出されています。 KELAがそのテクノロジーを駆使して2easyからデータを収集し、分析した結果、2021年12月時点で同マーケットに「情報窃取型マルウエアが収集したログ」を提供する販売者が18人存在することが明らかとなりました。また、この分析作業で特定された販売者がアンダーグラウンドのサイバー犯罪社会で他にどのような活動を行っているのか、そして様々なサイバー犯罪サイトでは2easyについてどのようなフィードバックが投稿されているのかを調査した結果、資格情報を売買するサイバー犯罪者の大半が2easyについて肯定的な評価を投稿しており、彼らの間で同マーケットが一定の認知度を得ていることが判明しました。これらの調査結果をふまえ、KELAは2easyで販売されている資格情報の大半は有効であり、組織に直接的な脅威をもたらす可能性があるものであると評価します。また我々が2easyを分析した結果、売り出されているログの情報源となったマシンの50%以上がRedLineに感染しており、同マーケットの販売者の間では情報窃取型マルウエア「RedLine」が最も人気を博していることが判明しました。