Skip to content Skip to footer
Search

Loading Results

【サイバーインテリジェンス】サイバー犯罪エコシステムの成熟化と日本を取り巻く脅威の現状

2022-06-17

2020年から深刻化した新型コロナウイルス感染症の流行以来、サイバー空間における脅威トレンドにもさまざまな変化が報告されています。VPNを狙った脆弱性攻撃やフィッシングメールによるばらまき型攻撃など、それぞれの事象は従来から確認されている手法と同様ですが、こうしたサイバー脅威の活発化の原因には、それを可能にするサイバー犯罪エコシステムとその成熟化という構造が存在します。サイバー犯罪者は、標的組織のネットワークに侵入するための時間・労力を節約することを目的として、侵入に必要となる情報を提供する初期アクセスブローカーを利用する傾向が高まっています。本稿では、こうした初期アクセスブローカーのトレンドを含むサイバー犯罪エコシステムと日本を取り巻く脅威の状況について解説します。

新しいエコシステム 初期アクセスブローカーの台頭

前述のInfostealer、ディープウェブ・ダークウェブなどのアンダーグラウンドマーケット、ランサムウェアといった脅威は独立して存在するわけではなく、それぞれが相互に関係し、他の脅威と合わさることでサイバー犯罪のエコシステムを形成しています。

エコシステムは分業化と簡便で安価なツールの登場により、高度なスキルを持たない攻撃者の参加を促し、攻撃者の数と市場が拡大しています。その結果、従来とは違う形での連携が見られるようになりました。

分業が進んで生まれたと言える初期アクセスブローカーは、ランサムウェアグループなどに侵入経路を提供していますが、複数のランサムウェアグループやAPTでひとつの初期アクセスブローカーを共有し、利用していることもあります。BlackBerry Research and Intelligenceチームは、ランサムウェアグループMountLockerとPhobos、およびAPTグループStrongPityが、Zebra2104と呼ばれる初期アクセスブローカーを共有していることを明らかにしました*6。また、Emotet、IcedID、TrickBotは一種のサイバー犯罪コンテンツのCDNとして機能しはじめています*7。実際、ロシア系のランサムウェアグループであるContiが2022年3月にハッキングを受け、グループ内部のチャットデータが漏洩した際、その中ではContiがランサムウェアを拡散するプラットフォームとして2022年11月から日本国内で猛威を振るっているEmotetと連携していたことがうかがえる痕跡が確認されています*8。また、攻撃の高度化の裏には、商用ペネトレーションツールの悪用も一因となっています。本来はレッドチーム演習などで利用するペネトレーションツールのソースコードが漏洩し、実際のサイバー攻撃で利用されるケースが継続して確認されています。

PwCではサイバー攻撃や犯罪に必要な資源(ゼロデイ脆弱性、スパイウェアなど)を提供するグループをデジタルクオーターマスターと呼び、2021年にその存在感が高まったと分析しています*9。デジタルクオーターマスターの存在自体は新しいものではありませんが、従来は国家支援型の脅威アクターとの結びつきが強く、他国に帰属すると考えられる脅威アクターとの関係性は限定的なものでした。しかし、近年確認されているサイバー攻撃や脅威アクターの動向を踏まえるとビジネスとして活動を行うより商業的なデジタルクオーターマスターの存在がうかがえます。今後も分業化とそれに伴ってのグループ間での連携や資源共有が進むことが予想され、攻撃者の技術の進化は加速すると考えられます。

繰り返し悪用される初期アクセスに関する欠陥への対策が重要

上記のようなサイバー脅威への対策は既に多数の政府機関、セキュリティベンダーなどから注意喚起が行われています。それらの対策はいずれも基礎的な対策を徹底することであり、ひとつの対策で根本的な対策を実現できるものではありません。2022年5月17日、米国サイバーセキュリティ・インフラストラクチャ庁は、カナダ、ニュージーランド、オランダ、英国の各当局のサイバーセキュリティ担当と合同で、初期アクセスで繰り返し悪用される一連のセキュリティ上の欠陥(表)についてバッドプラクティスおよび対策を発表しています。既に多くの企業で繰り返し実施される注意喚起を受けて、セキュリティ対策上の点検を実施していると考えられますが今一度対策の抜け漏れ、海外・子会社などの関連企業を含めた徹底不備がないか確認することを推奨します。

表:初期アクセスに繰り返し悪用されるセキュリティ上の欠陥

1 強制されていない多要素認証
2 不適切な特権・権限設定およびアクセスコントロールリストの不備
3 ソフトウェアアップデートの未実施
4 デフォルト設定およびユーザー名・パスワードの利用
5 VPNなどのリモートアクセスにおけるセキュリティコントロールの不備
6 強力なパスワードポリシーの未適用
7 クラウドサービスの設定不備
8 オープンポートおよび設定不備の存在するサービスにインターネットへの公開
9 フィッシングメールの検知、遮断失敗
10 限定的なエンドポイントにおける検知・対処能力

出典

*1 THREAT REPORT T3 2021(ESET、2022年2月22日、https://www.welivesecurity.com/2022/02/09/eset-threat-report-t32021/
Palmerworm: Espionage Gang Targets the Media, Finance, and Other Sectors(シマンテック、2020年9月29日、https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/palmerworm-blacktech-espionage-apt

*2 RedLine Stealer Is Key Source of Identity Data for Criminal Shops(Recorede Future、2021年10月14日、https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf

*3 “The Rise of RedLine (Episode I)”, PwC Threat Intelligence, CTO-TIB-20220209-01A

*4 マルウエア 感染の7割余 不正ソフトのインストールが原因か(NHK、2021年11月8日、https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html
攻撃者がRedLine StealerをWindows 11へのアップグレードに偽装(HP、2022年2月24日、https://jp.ext.hp.com/blog/security/product/redline-stealer-disguised-as-a-windows-11-upgrade/)

*5 CYBERSECURITY REPORT(ESET、2022年3月16日、https://eset-info.canon-its.jp/malware_info/special/detail/220316.html        

*6 Ruthlessness, Scale, and Sophistication: How Cyber Crime Evolved in 2021(BlackBerry ThreatVector Blog、2022年4月28日、https://blogs.blackberry.com/en/2022/04/ruthlessness-scale-and-sophistication-how-cyber-crime-evolved-in-2021

*7 Sophos 2022 Threat Report Interrelated threats target an interdependent world(Sophos、2021年11月9日、https://www.sophos.com/en-us/labs/security-threat-report

*8 Suspected Conti Ransomware Activity in the Auto Manufacturing Sector(DRAGOS、2022年3月16日、https://www.dragos.com/blog/industry-news/suspected-conti-ransomware-activity-in-the-auto-manufacturing-sector/

*9 Cyber Threats 2021: A Year in Retrospect(PwC、2022年4月29日、https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/cyber-year-in-retrospect.html

主要メンバー

名和 利男

PwC Japanグループ, サイバーセキュリティ最高技術顧問, PwC Japan

Email

岩井 博樹

PwC Japanグループ, スレットインテリジェンスアドバイザー, PwC Japan

Email

Jason Smart

ディレクター, PwC Australia

Email

林 和洋

パートナー, PwCコンサルティング合同会社

Email

村上 純一

ディレクター, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}


{{filterContent.facetedTitle}}