プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチランサムウェア攻撃が増加する一方で、アンダーグラウンドのフォーラムで売買されるネットワークの初期アクセスの数も日々増加しており、もはや初期アクセスはランサムウェアオペレーターが最初の侵入地点として利用する選択肢の一つになりつつあります。KELAは、初期アクセス・ブローカーに関する調査を終えた後、初期アクセス売買活動の全体像を構築するため、2020年9月に売買されたアクセスの一部を分析しました。 重要なポイント ネットワークの初期アクセスとは、侵害された組織のコンピューターにリモートでアクセスする資格情報や権限、手段の総称です。そしてその初期アクセスを販売する脅威アクター、つまり初期アクセス・ブローカーは、日和見的なキャンペーンと標的型攻撃者であるランサムウェアオペレーターを結び付ける役割を果たしています。 KELAは、2020年9月単月でネットワークの初期アクセスが100件以上売り出されたことを確認しました。これは、2020年8月と比較すると3倍の件数であり、希望販売価格の合計は50万ドルを超えています。 売り出されたアクセスのうち少なくとも23%については売買取引が成立しており、販売した脅威アクターらは合計で9万ドル近くを手に入れたことが報告されています。 KELAは、最も高額なアクセス5件のリストを作成し、販売した脅威アクターらのTTPを調査する一方で、アクセスの販売価格は被害者の収益及びアクセスに付与された権限のレベルに連動するとの仮説を検証しました。ドメイン管理者レベルのアクセスの場合、ユーザーレベルのアクセスよりも25%から100%高額な価格で取引されている場合があります。 初期アクセス・ブローカーがサイバー犯罪コミュニティで繰り広げる活動は、脅威アクターらの内部事情を浮き彫りにする貴重な情報源です。ネットワークの防御を担当するIT・セキュリティ担当部門が脅威の情勢について理解を深め、それに応じた防衛メカニズムの優先順位付を行うためには、こういった情報を活用することが重要です。また、初期アクセス・ブローカーがネットワークへのアクセスをランサムウェア・アフィリエイトに引き渡すプロセスは実質的に2つのパターンがあります。脅威ハンティングや敵対的シミュレーションを行う上で、極めて重要な意味を持つTTPと言えるでしょう。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やサイバー犯罪サイトの投稿、会話を調査しました。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチランサムウェア攻撃を受けた影響で患者が死亡した初の事例を受け、KELAは医療機関を狙うサイバー脅威やランサムウェア攻撃について分析するとともに、医療機関を標的とすることに関するランサムウェアオペレーターらの見解やダークネットの投稿、会話を調査しました。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ2020年10月8日更新情報：ゾーホー社の声明を掲載 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM（リモート監視・管理ツール）が実入りのよい標的となっています。 KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ2020年10月8日更新情報：ゾーホー社の声明を掲載 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM（リモート監視・管理ツール）が実入りのよい標的となっています。 KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトン2020年度の新学期の準備はこれまでとは異なり、世界中の生徒達は同級生とオンラインで再会するために準備を整えています。従来、新学期の準備といえば登校初日に向けてお洒落な文房具を購入したり、完璧な服を準備する等が挙げられますが、今学期の準備においては皆、家庭で快適にオンライン学習を行うための環境整備に投資しています。その一方で、新学期がリモート体制で始まることを受け、学校のIT担当者らは生徒や職員に対するサイバーセキュリティ教育を今年最大の関心事項として扱うとともに、教育機関を攻撃しようと狙うサイバー犯罪者らの脅威を阻止することに重点を置いています。 前回のブログ「教育セクターにおけるサイバー犯罪の増加」では、教育セクターの組織を狙う脅威アクターらの全体的な関心について調査するとともに、我々がアンダーグラウンドのエコシステムで確認した未遂の攻撃事例を数件取り上げました。また、教育機関を標的とする脅威のレベルについて、一般的な理解を確立するための重要なポイントにも言及しました。そして今回私達は、世界中の学校が授業を再開するに伴ってリスクが増加していることを受け、再びこのテーマを取り上げることにしました。 学校は、現在新型コロナウイルスの感染者数増加に対応するべく苦戦を強いられていますが、今度は新学期初日からリモート体制で使用するオンライン学習プラットフォームを、サイバー攻撃などの事件から守るべく戦わなければなりません。そして、まさにそういった状況を体現したともいえる事件が、フロリダ最大学区の公立学校で発生しました。犯人は16歳の学生であり、アンダーグラウンドの世界でいえば初心者レベルの脅威アクターです。年若い初心者レベルの脅威アクターが大規模な学校への攻撃を成功裏に治めたという今回の事件は、より洗練された経験豊富な脅威アクターも攻撃を計画し、実行に移す可能性があることを示唆しています。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ現在、ランサムウェア攻撃に対する身代金の平均支払額は178,254ドル相当であり、2020年第一四半期の平均支払額から60パーセント増加しています。また。身代金の支払総額も増加しており、その要因として、ランサムウェアオペレーターの攻撃件数自体が増加していることに加え、彼らが被害者を脅迫し、悪意ある活動を収益化する手法を新たに開発していることが挙げられます。彼らの新たなTTP（戦術、技術、手順）には以下の活動が含まれています。 データの窃取と身代金の要求 他のランサムウェア組織との協働 窃取データを使った他の被害者への攻撃 窃取データのオークション販売 報道機関や被害者のパートナー企業、顧客に対する情報漏えいの通知 クレジットカード情報の窃取   MazeやSodinokibi （REvil）などの悪名高いランサムウェア犯罪集団はもとより、知名度が低く二番手といえるNetwalker、Ragnar Locker、Akoやその他の集団も新たな戦術を採用しています。 KELAは、これらランサムウェア集団のブログを定期的に監視しており、毎週新たに10から20の被害者（企業、組織等含む）が掲載されていることを確認していますが、彼らは身代金を支払わなかった被害者だけをブログに掲載しているため、実際の被害者の数はさらに多いであろうことがうかがえます。また、サイバー犯罪者らと連携した結果、ブログに掲載されなかった被害者も存在します。 次のセクションでは、より多くの利益獲得を狙うにあたって、ランサムウェアオペレーターがどのように自らのスキームを多様化し、被害者に対する脅迫行為に関連した「マーケティング活動」を実施しているのかに焦点を当てます。

プロダクト・マネージャー　ラビード・レイブ 脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ 先日ZDNetは、サイバー犯罪コミュニティに投稿されたリーク情報について独占記事を掲載しました。リークされた情報には、脅威アクターが窃取したエンタープライズ用Secure Pulseサーバー900台以上に関する詳細情報と資格情報が含まれていました。 今回リークされた情報は、いかにランサムウェアのリスクが拡大しているかを物語っています。KELAはそのリークの内容、リーク事件の発端を作った脅威アクター、リーク情報の流布に関与した脅威アクターについて深く掘り下げて調査を行いました。 今回の短期的調査では、中間層に属するサイバー犯罪アクターである初期アクセス・ブローカーに焦点を置きました。彼らは、様々なソースからネットワークへの初期アクセスを入手して選別し、より大規模なネットワークアクセスに育て上げた後、それらのアクセスをランサムウェア・アフェリエイトに販売することを専門として活動しています。 アフェリエイト型ランサムウェアのネットワークが人気を集め、巨大企業はもとより規模の小さな企業にも影響が及ぶ中で、初期アクセス・ブローカーはアフェリエイト型ランサムウェアのサプライチェーンの中で急速に重要な存在となりつつあります。 今回リークされたリストは、サイバー犯罪フォーラムを利用する複数の初期アクセス・ブローカーの間で回覧されていたと思われます。そして今回、彼らのようなアクターをプロとはみなさないLockBitのアフェリエイトがリストを公開しました。 今回のレポートでは、サイバー犯罪コミュニティで交わされている幅広い情報をご紹介するとともに、サイバーインテリジェンスの専門家の視点から、的を絞ってスケーラブルにアンダーグラウンドのコミュニティを監視することの重要性をお伝えします。

脅威インテリジェンスアナリスト　ヴィクトリア・キヴィレヴィッチ マーケティングコンテンツマネージャー  シャロン・ビトンこの3件は、過去2か月の間に教育セクターで発生した主要なサイバー犯罪の見出しです。 大学のデータ　Blackbaudへのランサムウェア攻撃により損失 カリフォルニア大学　ランサムウェア攻撃を受け身代金100万ドルを支払い ヨーク大学　データ侵害により職員及び生徒の情報が盗まれたことを公表 これらは氷山の一角であり、この一年間でサイバー攻撃を受けた教育機関の数は増加傾向にあります。K-12 Cyber Incident Map (全米の公立幼稚園～高校で報告されたサイバーセキュリティ関連インシデントを可視化した資料)によると、2019年だけで348校がサイバー攻撃を受けています。これは米国の学校（大学を除く）のみを対象とした数値ですが、その数は今後ますます増加することが予想されます。 こういった状況から、以下の疑問が浮かび上がってきます。 アンダーグラウンドの脅威アクター達は、教育セクターの組織を調査し攻撃の標的とすることに関心を持っているのか？ 教育セクターを標的とする攻撃の種類は？ アンダーグラウンドのエコシステムで最近未遂に終わった攻撃は？ 未遂に終わった攻撃は、大学そのものを狙った標的型攻撃であったのか？それとも大学が利用するサードパーティ・プロバイダーを介してさらにその先にある組織を狙った攻撃であったのか？ 我々は、このブログ全体を通じてこれらの問いに対する答えを明らかにしていきます。

プロダクトマネージャー　ラビード・レイブリモートアクセスマーケットとは、攻撃者が侵害したウェブサイトやサービスへのアクセス認証情報を自動売買する市場です。そしてその手軽さゆえに、攻撃者にとっては絶え間なく生成される大量のビジネスチャンスをいつでも購入できる場所となっています。組織のネットワークへのアクセスをサービスとして購入できるということは、不正行為に必要な技術的ハードルが下がるということであり、その結果、組織がランサムウェア攻撃やカードスキミングなど、一連のオンラインの脅威にさらされるということにつながります。 今回のブログでは、KELAが追跡・監視しているリモートアクセスマーケットでも、特に有名な存在となっている「MagBo」について考察します。MagBoは様々な点でその独自性を打ち出していますが、なかでも取り扱い商品数が大きいことが特徴といえるでしょう。同マーケットは2年にわたるその操業期間において、侵害したウェブサイト約150,000件へのアクセス（その大半は侵害したサーバーにインストールしたWebシェルマルウェアへのアクセス）を売買しており、そのなかには世界中の金融機関、政府組織、重要インフラストラクチャーのウェブサイトも含まれていました。KELAは、MagBoやその他のリモートアクセスマーケットについての洞察を得ることが、防御する側にとって極めて重要なインテリジェンスフィードになると提言します。