プロダクトマネージャー　ラビード・レイブ 一部報道では、先週発生したTwitterアカウントの乗っ取りは、Twitter の社内Slackの資格情報を窃取した攻撃者によって行われたものと発表しています――実際には、攻撃者はSlackを同社ネットワークに侵入するための初期アクセスとして利用していました。 アンダーグラウンドのサイバー犯罪マーケットでは1万2000件を超えるSlackの資格情報が販売されており、数千もの組織にとって明らかな脅威となっています。しかし、一般に公開されている報告とサイバー犯罪コミュニティの両方を検証した結果、現在攻撃者がSlackについてそれほどの関心を持っているという事実には至りませんでした。 KELAは、サイバー犯罪者らがSlackへの不正なアクセスを収益へと結びつけることに苦戦しているのではないかと考えています。その理由として、Slackは標的のネットワークに直接アクセスできる権限を付与するアプリケーションではないため、攻撃者がSlackから他の社内アプリケーションにアクセスしようと考えるならば、果てしない偵察活動を続けつつまったくの偶然がもたらすチャンスが舞い降りてくるのをひたすら待つしか術がないのです。 ランサムウェアを悪用する攻撃者の間では大物狩りを狙う戦術が流行しており、その一方で標的型の侵入攻撃による被害額が増加しています。これらを踏まえ、攻撃者らは今後、Slackなど企業のアタックサーフェスを拡大するクラウドアプリに対してより大きな関心を持つであろうと予想されます。 これらの観点からKELAは、組織や企業の皆様がスケーラブルな自動監視ソリューションを導入し、機密データが保存されたクラウドアプリを狙うサイバー犯罪活動について最新の情報を享受されることを強くお勧めいたします。

プロダクト・マネージャー　ラビード・レイブ　　 脅威インテリジェンスアナリスト　レオン・キュロラプニック2020年2月中旬以降、さまざまなサイバー犯罪コミュニティで、情報窃取型マルウェア「AZORult」のパスワード窃取機能が2月4日にリリースされたGoogle Chromeのアップデートによって無効化されたことが話題になっています。「AZORult」は現行の情報窃取型マルウェアの中で広く利用されているものの1つで、現在進行中（当時）のキャンペーンの元凶でもあります。「AZORult」の保守は終了しており、多くの脅威アクターはこのマルウェアが完全に引退したと考えています。ただし、これまでもそうだったように変化に対応した既知および未知のマルウェアが出現しています。

リサーチ:Part 1 – GUID の謎を解く プロダクトマネージャー　ラビード・レイブ本ブログ記事はサイバー犯罪マーケット「Genesis」のサプライチェーンについて解説するシリーズの第一弾です。コンピューターウイルス(マルウェア)に感染させた端末から窃取したログイン情報を販売するオンラインストア「Genesis」は、ロシアの脅威アクターと思われる管理者によって 2018 年から運営されており、革新的なモデルによって成功を収めています。今回の調査では、ある簡単な方法を用いて「Genesis」に掲載されている 33 万 5 千台以上の感染端末(ボット)を 4 つのグループに分類しました。この分類により、掲載されているボットのうち 30 万台以上が情報窃取型マルウェア「AZORult」に感染した端末であり、「Genesis」の脅威アクターは毎月数万台単位で「AZORult」への感染を拡大している活動に関与していることが判明しました。ただし、「Genesis」は必ずしもそのような活動を主導しているわけではなく、むしろさまざまなマルウェア・アズ・ア・サービス(MaaS)プロバイダーおよびサイバー犯罪サービスと協力関係を結んでいるようです。 「Genesis」を広く知られたコモディティマルウェアと結びつけるこの発見は、ボットによって不正に取得したデータの急増とそれらが現在進行形で法人組織に脅威をもたらしていることを明らかにするものです。また、サイバー犯罪のエコシステムで活動している脅威アクター間のサプライチェーン関係にも光を当てます。次回以降のブログ記事では特定の脅威アクターやトレンドを取り上げながらこのテーマについて探求します。