{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-06-17
2020年から深刻化した新型コロナウイルス感染症の流行以来、サイバー空間における脅威トレンドにもさまざまな変化が報告されています。VPNを狙った脆弱性攻撃やフィッシングメールによるばらまき型攻撃など、それぞれの事象は従来から確認されている手法と同様ですが、こうしたサイバー脅威の活発化の原因には、それを可能にするサイバー犯罪エコシステムとその成熟化という構造が存在します。サイバー犯罪者は、標的組織のネットワークに侵入するための時間・労力を節約することを目的として、侵入に必要となる情報を提供する初期アクセスブローカーを利用する傾向が高まっています。本稿では、こうした初期アクセスブローカーのトレンドを含むサイバー犯罪エコシステムと日本を取り巻く脅威の状況について解説します。
情報を窃取するマルウェアであるInfostealerは近年世界的に増加傾向にあり、2021年を通じて多くのInfostealerが検知された主要な国はスペイン、トルコ、日本であることが報告されています*1。Infostealerによって窃取された情報は、ディープウェブ・ダークウェブなどのマーケットで販売され、RedLineと呼ばれるInfostealerがこうしたマーケットに対する大きな供給元になっていることが確認されています*2。
RedLineは、感染したシステム上のWebブラウザー、FTPクライアント、メールアプリ、インスタントメッセンジャー、VPNクライアントなどのソフトウェアから認証情報を抽出して窃取します。認証情報だけでなく、Webブラウザー、チャットログ、ローカルファイル、暗号通貨ウォレットデータベース内に保存された認証クッキーやクレジットカード番号を窃取する機能も備えていることが確認されています。2020年2月18日にロシア語圏で運営されているフォーラム(ディープウェブの一種)であるBest Hack Forum(BHF)においてRedLineが告知された際は、暗号通貨を用いて誰でも購入して攻撃に利用できることから多くの注目を集め、利用が急増しました*3。
Infostealerによって窃取された情報は、Russian MarketやAmigos Marketなどのアンダーグラウンドマーケットで販売されていますが、異なるマーケットで同一の情報が販売されていることが散見されます。一度盗まれ、流出した情報は他の情報と合わせてパッケージングされ、他の販売チャネルで再販される現象が多々確認されています。実際、前述のAmigos Marketで販売されている情報の多くはRussian Marketからミラーされたものとなっています。また、購入した者が売名行為や自身の評判を高めるなどの目的で、特定のコミュニティで情報をばら撒く行為も観測されています。
日本でもRedLineをはじめとしたinfostealerは深刻な脅威となっており、特に日本ではオンラインゲームのチートツールや商用ソフトウェアのライセンスクラックツールなどの不正ソフトを媒介にして感染するケースが多いことが報告されています*4。実際にPwC Japanグループが独自に実施した調査でもアンダーグランドマーケットでの日本のドメインに関連する認証情報や個人情報の販売、買取に関するやりとりを確認しています。こうした情報は、Webサイトからの漏洩情報や日本企業のインシデントにより流出したと思われる情報について、メールアドレスと認証情報のペア(コンボリスト)が中心となります。また、特に買取情報については、募集する情報が日本だけに限定されず米国および韓国、中国、台湾、ベトナムなどのアジア地域をセットで募集情報が掲載されることがひとつの特徴と言えます。ジオテクノロジー(技術の地政学)とサイバーセキュリティでも解説したとおり、日本は米中両国のサプライチェーンが交わる場所となり、双方からのサイバー攻撃やサイバースパイ活動の対象になり得るため注意が必要です。また、近年の傾向のひとつとして、フォーラム上でのこうしたやりとりは匿名メッセージングアプリへの移行が進んでおり、実態がより見え難い状況になっています。
2021年にはビジネス・ITのサプライチェーンを介した攻撃が増加し、ツール開発者、ツール販売者、実行犯、初期アクセスブローカー、リークサイトなどの分業化と連携が活発になりました。その結果、侵入から利益発生にいたるまでの流れが太く円滑になり、エコシステムとして拡大しました。また、PwCのThreat Intelligenceによる調査では、2020年に約1,300件であったランサムウェア被害は、2021年には2,435件と約2倍に増加しています。被害業種の内訳を見てみると、製造業、卸売・小売業、情報通信業、建設業、金融サービス、プロフェッショナルサービスの6種で全体の60%超を占めています。警察庁が公開している「令和3年におけるサイバー空間をめぐる脅威の情勢等について」では、令和3年における日本国内の業種別被害報告件数は計146件、上位から製造業、卸売・小売業、サービス業、建設業、情報通信業となっており、同様の傾向を示しています。これらの業種は米国における売上高の高い業種と類似しており、ランサムウェアグループが標的を選ぶ際に、産業および企業のビジネス規模を参考にしている可能性が示唆されます。また、日本においては特に製造業の被害割合が高いことが特徴と言えます。
その手口も従来の2重脅迫(暗号化と情報公開)から3重(ターゲット企業の公開サーバーを狙ったDDoS攻撃)あるいは4重(顧客や取引先に対してその企業がランサムウェア被害にあったことを通知する嫌がらせ)の脅迫へとより悪質なものになりました*5。
前述のInfostealer、ディープウェブ・ダークウェブなどのアンダーグラウンドマーケット、ランサムウェアといった脅威は独立して存在するわけではなく、それぞれが相互に関係し、他の脅威と合わさることでサイバー犯罪のエコシステムを形成しています。
エコシステムは分業化と簡便で安価なツールの登場により、高度なスキルを持たない攻撃者の参加を促し、攻撃者の数と市場が拡大しています。その結果、従来とは違う形での連携が見られるようになりました。
分業が進んで生まれたと言える初期アクセスブローカーは、ランサムウェアグループなどに侵入経路を提供していますが、複数のランサムウェアグループやAPTでひとつの初期アクセスブローカーを共有し、利用していることもあります。BlackBerry Research and Intelligenceチームは、ランサムウェアグループMountLockerとPhobos、およびAPTグループStrongPityが、Zebra2104と呼ばれる初期アクセスブローカーを共有していることを明らかにしました*6。また、Emotet、IcedID、TrickBotは一種のサイバー犯罪コンテンツのCDNとして機能しはじめています*7。実際、ロシア系のランサムウェアグループであるContiが2022年3月にハッキングを受け、グループ内部のチャットデータが漏洩した際、その中ではContiがランサムウェアを拡散するプラットフォームとして2022年11月から日本国内で猛威を振るっているEmotetと連携していたことがうかがえる痕跡が確認されています*8。また、攻撃の高度化の裏には、商用ペネトレーションツールの悪用も一因となっています。本来はレッドチーム演習などで利用するペネトレーションツールのソースコードが漏洩し、実際のサイバー攻撃で利用されるケースが継続して確認されています。
PwCではサイバー攻撃や犯罪に必要な資源(ゼロデイ脆弱性、スパイウェアなど)を提供するグループをデジタルクオーターマスターと呼び、2021年にその存在感が高まったと分析しています*9。デジタルクオーターマスターの存在自体は新しいものではありませんが、従来は国家支援型の脅威アクターとの結びつきが強く、他国に帰属すると考えられる脅威アクターとの関係性は限定的なものでした。しかし、近年確認されているサイバー攻撃や脅威アクターの動向を踏まえるとビジネスとして活動を行うより商業的なデジタルクオーターマスターの存在がうかがえます。今後も分業化とそれに伴ってのグループ間での連携や資源共有が進むことが予想され、攻撃者の技術の進化は加速すると考えられます。
上記のようなサイバー脅威への対策は既に多数の政府機関、セキュリティベンダーなどから注意喚起が行われています。それらの対策はいずれも基礎的な対策を徹底することであり、ひとつの対策で根本的な対策を実現できるものではありません。2022年5月17日、米国サイバーセキュリティ・インフラストラクチャ庁は、カナダ、ニュージーランド、オランダ、英国の各当局のサイバーセキュリティ担当と合同で、初期アクセスで繰り返し悪用される一連のセキュリティ上の欠陥(表)についてバッドプラクティスおよび対策を発表しています。既に多くの企業で繰り返し実施される注意喚起を受けて、セキュリティ対策上の点検を実施していると考えられますが今一度対策の抜け漏れ、海外・子会社などの関連企業を含めた徹底不備がないか確認することを推奨します。
表:初期アクセスに繰り返し悪用されるセキュリティ上の欠陥
1 | 強制されていない多要素認証 |
2 | 不適切な特権・権限設定およびアクセスコントロールリストの不備 |
3 | ソフトウェアアップデートの未実施 |
4 | デフォルト設定およびユーザー名・パスワードの利用 |
5 | VPNなどのリモートアクセスにおけるセキュリティコントロールの不備 |
6 | 強力なパスワードポリシーの未適用 |
7 | クラウドサービスの設定不備 |
8 | オープンポートおよび設定不備の存在するサービスにインターネットへの公開 |
9 | フィッシングメールの検知、遮断失敗 |
10 | 限定的なエンドポイントにおける検知・対処能力 |
*1 THREAT REPORT T3 2021(ESET、2022年2月22日、https://www.welivesecurity.com/2022/02/09/eset-threat-report-t32021/)
Palmerworm: Espionage Gang Targets the Media, Finance, and Other Sectors(シマンテック、2020年9月29日、https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/palmerworm-blacktech-espionage-apt)
*2 RedLine Stealer Is Key Source of Identity Data for Criminal Shops(Recorede Future、2021年10月14日、https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf)
*3 “The Rise of RedLine (Episode I)”, PwC Threat Intelligence, CTO-TIB-20220209-01A
*4 マルウエア 感染の7割余 不正ソフトのインストールが原因か(NHK、2021年11月8日、https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html)
攻撃者がRedLine StealerをWindows 11へのアップグレードに偽装(HP、2022年2月24日、https://jp.ext.hp.com/blog/security/product/redline-stealer-disguised-as-a-windows-11-upgrade/)
*5 CYBERSECURITY REPORT(ESET、2022年3月16日、https://eset-info.canon-its.jp/malware_info/special/detail/220316.html)
*6 Ruthlessness, Scale, and Sophistication: How Cyber Crime Evolved in 2021(BlackBerry ThreatVector Blog、2022年4月28日、https://blogs.blackberry.com/en/2022/04/ruthlessness-scale-and-sophistication-how-cyber-crime-evolved-in-2021)
*7 Sophos 2022 Threat Report Interrelated threats target an interdependent world(Sophos、2021年11月9日、https://www.sophos.com/en-us/labs/security-threat-report)
*8 Suspected Conti Ransomware Activity in the Auto Manufacturing Sector(DRAGOS、2022年3月16日、https://www.dragos.com/blog/industry-news/suspected-conti-ransomware-activity-in-the-auto-manufacturing-sector/)
*9 Cyber Threats 2021: A Year in Retrospect(PwC、2022年4月29日、https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/cyber-year-in-retrospect.html)