脅威インテリジェンスアナリスト　　ヴィクトリア・キヴィレヴィッチ2021年7月、KELAは、脅威アクターらがアクセスの買い取りを呼びかけるスレッドを立ち上げている状況を観察しました。立ち上げられたスレッドには、買い取りにあたっての希望条件なども記載されており、一部の脅威アクターらが情報窃取型マルウエアを展開したり、その他の不正行為を行う目的でアクセスを購入していることがうかがえました。そしてその一方で、他の脅威アクターらは、ランサムウエアをインストールしてデータを窃取することを目的としていました。そこで我々は、アクセスの買い取りを呼びかける脅威アクターらの中でも、特にランサムウエア集団にとって価値あるものとはいったい何であるのかを突き止めるべく調査を行い、「ランサムウエア集団にとって理想の標的」のプロファイルを作成しました。 今回の調査の要点は以下の通りです。 2021年7月、KELAは、脅威アクターらが様々な種類のアクセスを買い取ると呼びかけているスレッドを48件発見しました。そのうち46%に該当するスレッドは7月中に作成されており、商品としてのアクセスに対して確実な需要がある状況を示唆しています。 アクセスの買い取りを呼びかけているアクターらの40%が、ランサムウエア・アズ・ア・サービス （RaaS）のサプライチェーンで活動しているオペレーターやアフィリエイト、仲介業者などであることが判明しました。 ランサムウエア集団は、理想とする標的の収益や地域を指定する一方で、特定の業界や国を攻撃対象から除外し、彼らなりの「業界基準」を確立していると思われます。2021年7月に活動していた脅威アクターらが買い取りを希望していたのは、概して収益1億ドル以上を有する米企業へのアクセスでした。ただし彼らの約半分は、医療・教育関連企業のアクセスについては買い取らない旨をスレッドに記載していました。 ランサムウエア集団は、最も基本的な買い取り商品としてRDPやVPNを悪用したアクセスを挙げているものの、あらゆる種類のネットワークアクセスを買い取りの対象としています。ネットワークへのアクセスに利用できる製品の中で、彼らがアクセスを買い取りたいと名を挙げていたのは、Citrix社やPalo Alto Networks社、VMware社、Fortinet社、Cisco社のソリューションでした。 アクセスにかける予算については、最高で10万米ドルまで支払うとしているランサムウエア集団もいますが、大半のランサムウエア集団は、その約半額となる5万6,250ドルを上限としています。 それぞれのランサムウエア集団が定めている標的の要件と、彼らが初期アクセス・ブローカーらに対して要求している商品（アクセス）や条件の内容には様々な共通点が見られます。これは、ビジネス社会と同じようにランサムウエア業界の活動においても、標準化の波が訪れていることを表しています。

脅威インテリジェンスアナリスト　　ヴィクトリア・キヴィレヴィッチKELAは、過去1年以上にわたって初期アクセス・ブローカーの動向と、彼らがアンダーグラウンドのサイバー犯罪フォーラムに売り出したネットワークへの初期アクセスについて追跡調査を行ってきました。「初期アクセス」とは、不正アクセスを受けた組織が使用しているコンピュータへのリモートアクセスを意味する用語です。そして、そういったアクセスを販売する脅威アクターは「初期アクセス・ブローカー」と呼ばれています。初期アクセス・ブローカーは、場当たり的にキャンペーン（作戦活動）を展開して組織や企業のネットワークを侵害し、ネットワーク内にあるコンピュータへのリモートアクセスを窃取して、アンダーグラウンドで販売しています。その買い手には、ランサムウエアオペレーターをはじめとする標的型攻撃の実行者達も多く含まれており、販売されている初期アクセスを利用することで、彼らにとってもネットワークへの侵入が非常にたやすい作業となっています。つまり、初期アクセス・ブローカーは、ランサムウエア・アズ・ア・サービス （RaaS）エコノミーにおいて今や重要な役割を果たす存在となっているのです。 今回の調査では、初期アクセス・ブローカーの動向と、2020年7月1日から2021年6月30日までの1年間における彼らの活動を観察し、詳細な分析を行いました。そして我々は、初期アクセス・ブローカーの果たす役割がアンダーグラウンドのサイバー犯罪業界でさらなる人気を集め始めたこの1年間における彼らの活動を分析し、その分析を通じて発見した5つの主要なトレンドを本レポートにまとめました。

KELA脅威インテリジェンスアナリスト　　ヴィクトリア・キヴィレヴィッチかつて、アンダーグラウンドに広がるサイバー犯罪のエコシステムは、攻撃の最初から最後までの全プロセスを自らの手で実行するサイバー犯罪者達の住処となっていました。しかし、彼らが繰り広げていた「ワンマンショー」は今やサイバー犯罪業界から消滅しつつあり、その一方で、様々なニッチ領域を専門に手掛ける「専門職」とも呼べるサイバー犯罪者達がその存在感を高めつつあります。この変化は、今やサイバー犯罪業界の中で最も顕著なトレンドの一つであると言えるでしょう。例えば一般的なサイバー攻撃のプロセスを検証してみると、すべての攻撃者達が攻撃の各ステージを実行するだけのノウハウを、必ずしも持ち合わせているわけではないということがわかります。 コーディング（必要な機能をコーディング、又は必要な機能を備えたマルウエアを入手） 拡散（標的とする被害者の感染） 抽出（感染した端末へのアクセス確保・維持） 収益化（攻撃による利益の獲得）

KELAサイバーインテリジェンスセンター昨年は、初期アクセス・ブローカーらが多大な努力を払い、多数の成功を収めました。そしてそんな彼らの功績が、ランサムウェア・アフィリエイトやオペレーターらのネットワーク侵害におけるハードルを大きく引き下げたとして、初期アクセス・ブローカーに注目が集まりました。彼らは、アンダーグラウンドに形成されたサイバー犯罪のエコシステムの中で、さらに活発に活動を展開してその名を広め、人気を博しています。今回のブログでは、DARKBEASTを使うことによってそういった初期アクセス・ブローカー達の動きを監視し、彼らが実際に損害をもたらす前にその企みを阻止する手法についてご紹介します。 今回のブログでご紹介する手法は以下の通りです。 注目すべき初期アクセス・ブローカーの商品をクリック一つで確認する方法 複雑なクエリやメタデータ検索、ブール論理を使用して、初期アクセス・ブローカーや商品（ネットワークアクセス）を様々な切り口で調査する方法 重要なクエリをサブスクリプションに登録し、条件にヒットする情報をリアルタイムで入手する方法 テキストを画像化してセキュリティ検知を回避しようとする初期アクセス・ブローカーの投稿を検知する方法 KELAの専門家が作成したフィニッシュド・インテリジェンスを活用して、様々なブローカーや商品についての背景情報が取り入れられたインサイトを閲覧する方法 DARKBEASTのAPIを利用して、現在使用しているツールで初期アクセス・ブローカーのデータを取得・分析する方法

KELA脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー シャロン・ビトンサイバー犯罪社会かサーフェスウェブかにかかわらず、オンラインマーケットが廃業するというのはよくある出来事です。今、アンダーグラウンドのサイバー犯罪社会では、様々な理由によってマーケットが立て続けに閉鎖されており、閉鎖されたマーケットのユーザー達が、商品やサービスを売買できる次のマーケットを探し求めて活発な動きを見せています。KELAは、有名なカーディングマーケット「Joker’s Stash」が2021年2月15日をもって閉鎖するという重大発表を受け、様々なサイバー犯罪マーケットの閉鎖と、それらのマーケットを利用していたユーザー達が次にどこへ向かうのかについて理解を深めるべく、サイバー犯罪のアンダーグラウンドを調査しました。 今回の調査結果の重要なポイント: Joker’s Stashが閉鎖されたことを受けて、同マーケットのユーザーを取り込もうとしている４つのマーケットを特定しました。それぞれのマーケットが打ち出す広告とユーザー達の反応を見たところ、Joker’s Stash のユーザー達はBrian’s ClubやVclub、Yale Lodge、UniCCを新たな活動の場に選ぶと考えられます。 我々は、サイバー犯罪者達が一般社会のビジネスマンやマーケティング担当者と同じように、同業者の廃業に乗じて自らのサービスを宣伝し、そのユーザーを取り込もうとしている状況を観察しています。 Joker’s Stash の閉鎖を受けて新たなマーケットを探しているカード情報ベンダー達を取り込むために、マーケットの管理者達がベンダーに課すライセンス費用を無料にするというトレンドが生まれていることを発見しました。 IT・サイバーセキュリティを担当される皆様が脅威アクターらの信頼性を評価し、彼らの次の行動を予測して自らの組織をサイバー脅威から守るにあたり、まず脅威アクターらの動向と彼らのTTPを監視することが重要であると提言します。

KELA脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチアンダーグラウンドのフォーラムでは、日々多数の初期アクセスが売買されており、今ではランサムウェアオペレーターらが標的のネットワークに侵入するためのエントリポイントとしても、初期アクセスが利用されつつあります。KELAは、前回の分析「2020年9月に販売されたネットワークアクセス—KELAが見たその100件の詳細」に続いて、2020年第4四半期に販売されたすべてのネットワークアクセスを評価しました。 今回のブログでご説明する重要なポイントは以下の通りです。 KELAは、2020年第4四半期に売り出された約250件の初期アクセス（希望販売価格の累計額は120万ドル超）を追跡しました。同四半期売り出されたアクセスの月平均件数は約80件となりました。 KELAは、売り出されたネットワークアクセスのうち最低でも14%が、販売者であるアクターによって「売却済み」と記載されたことを確認しました。 同四半期の各月に売り出されたアクセスの件数は、いずれも9月の108件を下回っています。これについてKELAは、フォーラムで公開販売するよりも、非公開のメッセージを使って売り出す手口が増加したため、数字が若干減少したものと考えています。 高額な商品のリストと販売者のTTP（戦術、技術、手順）についてまとめてゆく中で、KELAは、アタックサーフェスが日々拡大しており、その一方で初期アクセス・ブローカーが新たな種類のアクセスを販売している状況を確認しました。しかしその一方で、RDPやVPNを利用したアクセスや脆弱性（特定の脆弱性を悪用してコードを実行することで、アクターらが標的の環境内でさらなる攻撃を実行することが可能となる）が、引き続き商品の主流を占めています。

プリセールス・エンジニア　アルモグ・ズースマン 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチゲーム業界は、コロナウイルスの流行による恩恵を受けた業界の一つです。外出自粛が始まって以降、多くの人々が屋内で楽しめる趣味を模索する中、オンラインゲームに注目が集まっています。そしてゲームソフトやゲームアプリの購入数とプレイヤーの増加により、オンラインゲーム業界の収益は2022年までに1960憶ドルに達すると予想されています。しかし、このゲーム業界における著しい成長が、新たな標的を探すサイバー犯罪者らの関心を引き付けています。セキュリティ対策を、業界の発展や利益と同レベルにあるべき優先事項として扱っておらず、その上有望な前途が待ち受けている新興業界ほど、彼らにとって最適な標的は他にありません。つまりゲーム業界は、金融業界のように何兆ドルもの評価を受けているわけではありませんが、利益を重視するサイバー犯罪者の多くが重要なポイントとする「利益の増大」と「プロセスの簡素化」の２点をクリアしているのです。 コロナ禍においてゲーム業界を狙う脅威の勢力図を評価するにあたり、我々は大手ゲーム企業の従業員や社内システムを脅かす恐れのあるリスクについて調査を行いました。今回のブログの重要なポイントは、以下の通りです。 KELAは、ゲーム会社のネットワーク（特に開発者用リソース）への初期アクセスに対する需要と供給について、複数の事例を確認しました。 また、ゲーム会社の従業員及び顧客に関連するアカウント約100万件が侵害されており、うち半分が2020年中に売り出されていることを確認しました。 さらに、大手ゲーム企業の従業員に関連する資格情報が50万件以上流出している状況を検出しました。 ゲーム業界が成長するに伴い、同業界を狙う脅威の数も増加しています。ゲーム業界の企業は、サイバー犯罪コミュニティを積極的に監視して、価値あるインテリジェンスをリアルタイムで収集することにより、自らのアタックサーフェスを外部者の視点で確認し、サイバー犯罪者らのもたらす脅威を軽減することができるでしょう。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチKELAは、世界中でランサムウェア攻撃が増加の一途をたどる現状と、Pulse Secure社VPN製品の資格情報リストが流出した事件を背景に、最新の調査を行いました。すべてのランサムウェア攻撃で、CVE-2019-11510 （パッチ未適用のPulse Secure VPNサーバーに存在する脆弱性）や、過去に公開された企業のネットワーク資格情報が悪用されているわけではありませんが、今回の調査は、ランサムウェア攻撃に使われた可能性のある初期感染ベクトルを分析する際に、新たな視点を与えてくれる内容です。また先日も、脆弱なFortinet VPNの資格情報が5万件近く流出するという事件が発生しており、 ランサムウェア攻撃で狙われうる初期感染ベクトルについての懸念はますます高まっています。 今回私達が得た主な調査結果は、以下のとおりです。 ランサムウェア攻撃の被害者となった5社が使用しているPulse Secure VPNサーバーの資格情報は、2020年8月に脅威アクターが公開したPulse SecureのVPNリスト（フォルダやファイル等のディレクトリ形式）の中に含まれていました。 ランサムウェア集団は、身代金が確実に支払われるよう後押しするべく、被害者となった企業3社のデータを自らのブログで公開しました。KELAと脅威アクターの間で攻撃について交わされた会話から、少なくとも被害を受けた1社（企業名は不明）は身代金を支払っていることが判明しています。 攻撃に関与した脅威アクターは、少なくとも侵害したうち1社の初期アクセスは、CVE-2019-11510を利用したものであることを認めました。 企業のIT部門やサイバーセキュリティ部門が、自社ネットワークの安全を維持し、マルウェアをはじめとする高度な攻撃を阻止するにあたり、Pulse Secure VPNの資格情報などを含めたサイバー犯罪社会の脅威を積極的に監視することがその一助となります。

プロダクトマネージャー　ラビード・レイブサイバー犯罪の金融エコシステムは、アンダーグラウンドで新たに生まれる革新的なビジネスニーズに合わせて日々変化しています。データを買い求める者達は、大量のデータを最も簡単に、そして可能な限りスムーズに手に入れる方法を模索しており、その一方で脅威アクターらは彼らを支援するべく、嬉々としてマルウェア・アズ・ア・サービスから月次のサブスクリプションサービス、データ侵害にまで至るまで新たなサービスを生み出しています。 今回のブログでは、多くのコミュニティに定着しつつある興味深いトレンド、すなわちバンキング型トロイの木馬や情報窃取型マルウェアを使って窃取されたデータが、窃取したアクター達によって直接販売されており、さらには企業が主な標的となっている状況に焦点を当てました。窃取した資格情報を販売する方法には2パターンあり、サイバー犯罪コミュニティの脅威アクターらが直接データを販売するケースと、専門の自動売買マーケットを通じて販売するケースがあります。アクターらが、そういったデータ売買を通じて企業の資格情報を収益化しているという事実は、企業に対する脅威がますます高まりを見せていることを意味しますが、そういった取引が活発かつ堅調に行われているマーケットは、防衛する側の人間にとっては情報を収集する絶好の舞台であり、サイバー犯罪がどのように運営されているのかを直接目にすることのできるチャンスでもあります。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチサイバー攻撃の増加と2021年の東京オリンピック開催を受け、日本政府はサイバーセキュリティに関する取り組みへの投資を続けており、デジタル庁の創設もその取り組みの一つに挙げられます。同庁については、キャッシュレス決済サービスに紐づけられた日本の銀行口座から相次いで金銭が不正に引き出されるという最近の事件の後に、その創設が決定されました。この不正引き出し事件ではその手口として、侵害された銀行口座の資格情報やその他の攻撃ベクトルを悪用したブルートフォース攻撃が行われた可能性があります。しかし、最近KELAが行った調査によると、銀行のインフラに対する攻撃は日本の組織を標的とする脅威のほんの一端であり、我々は次のような攻撃についても確認しています。 漏えいデータ・不正侵入されたアカウント：我々は、日本の企業や政府、教育機関のデータがサイバー犯罪社会の中で活発に流通していると同時に、脅威アクターからの需要もあることを確認しました。攻撃者が標的とするネットワークへの初期アクセス（侵入地点等）を入手するために、漏えいデータや不正侵入されたアカウントを悪用する可能性があります。 ネットワークへの初期アクセス：我々は、2020年6月から10月までの間に日本の企業や大学、某省庁をはじめとする複数の組織が不正にアクセスされていることを確認しました。攻撃者が初期アクセスを使ってネットワークに侵入し、最終的にランサムウェアを展開する可能性があります。 ランサムウェア事件：我々は、2020年6月から10月までの間にランサムウェア攻撃を受けた日本の組織の数は少なくとも11に上ることを確認しました。被害者となったのは製造業界、建設業界、政府関連業界の企業であり、その企業規模は上位から順に年間収益1430億ドル、330億ドル、20億ドルとなっています。