【サイバーインテリジェンス】サイバー犯罪エコシステムの成熟化と日本を取り巻く脅威の現状

2020年から深刻化した新型コロナウイルス感染症の流行以来、サイバー空間における脅威トレンドにもさまざまな変化が報告されています。VPNを狙った脆弱性攻撃やフィッシングメールによるばらまき型攻撃など、それぞれの事象は従来から確認されている手法と同様ですが、こうしたサイバー脅威の活発化の原因には、それを可能にするサイバー犯罪エコシステムとその成熟化という構造が存在します。サイバー犯罪者は、標的組織のネットワークに侵入するための時間・労力を節約することを目的として、侵入に必要となる情報を提供する初期アクセスブローカーを利用する傾向が高まっています。本稿では、こうした初期アクセスブローカーのトレンドを含むサイバー犯罪エコシステムと日本を取り巻く脅威の状況について解説します。

新しいエコシステム 初期アクセスブローカーの台頭

前述のInfostealer、ディープウェブ・ダークウェブなどのアンダーグラウンドマーケット、ランサムウェアといった脅威は独立して存在するわけではなく、それぞれが相互に関係し、他の脅威と合わさることでサイバー犯罪のエコシステムを形成しています。

エコシステムは分業化と簡便で安価なツールの登場により、高度なスキルを持たない攻撃者の参加を促し、攻撃者の数と市場が拡大しています。その結果、従来とは違う形での連携が見られるようになりました。

分業が進んで生まれたと言える初期アクセスブローカーは、ランサムウェアグループなどに侵入経路を提供していますが、複数のランサムウェアグループやAPTでひとつの初期アクセスブローカーを共有し、利用していることもあります。BlackBerry Research and Intelligenceチームは、ランサムウェアグループMountLockerとPhobos、およびAPTグループStrongPityが、Zebra2104と呼ばれる初期アクセスブローカーを共有していることを明らかにしました^*6。また、Emotet、IcedID、TrickBotは一種のサイバー犯罪コンテンツのCDNとして機能しはじめています^*7。実際、ロシア系のランサムウェアグループであるContiが2022年3月にハッキングを受け、グループ内部のチャットデータが漏洩した際、その中ではContiがランサムウェアを拡散するプラットフォームとして2022年11月から日本国内で猛威を振るっているEmotetと連携していたことがうかがえる痕跡が確認されています^*8。また、攻撃の高度化の裏には、商用ペネトレーションツールの悪用も一因となっています。本来はレッドチーム演習などで利用するペネトレーションツールのソースコードが漏洩し、実際のサイバー攻撃で利用されるケースが継続して確認されています。

PwCではサイバー攻撃や犯罪に必要な資源（ゼロデイ脆弱性、スパイウェアなど）を提供するグループをデジタルクオーターマスターと呼び、2021年にその存在感が高まったと分析しています^*9。デジタルクオーターマスターの存在自体は新しいものではありませんが、従来は国家支援型の脅威アクターとの結びつきが強く、他国に帰属すると考えられる脅威アクターとの関係性は限定的なものでした。しかし、近年確認されているサイバー攻撃や脅威アクターの動向を踏まえるとビジネスとして活動を行うより商業的なデジタルクオーターマスターの存在がうかがえます。今後も分業化とそれに伴ってのグループ間での連携や資源共有が進むことが予想され、攻撃者の技術の進化は加速すると考えられます。

出典

^*1 THREAT REPORT T3 2021（ESET、2022年2月22日、https://www.welivesecurity.com/2022/02/09/eset-threat-report-t32021/）
Palmerworm: Espionage Gang Targets the Media, Finance, and Other Sectors（シマンテック、2020年9月29日、https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/palmerworm-blacktech-espionage-apt）

^*2 RedLine Stealer Is Key Source of Identity Data for Criminal Shops（Recorede Future、2021年10月14日、https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf）

^*3 “The Rise of RedLine (Episode I)”, PwC Threat Intelligence, CTO-TIB-20220209-01A

^*4 マルウエア 感染の7割余 不正ソフトのインストールが原因か（NHK、2021年11月8日、https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html）
攻撃者がRedLine StealerをWindows 11へのアップグレードに偽装(HP、2022年2月24日、https://jp.ext.hp.com/blog/security/product/redline-stealer-disguised-as-a-windows-11-upgrade/)

^*5 CYBERSECURITY REPORT（ESET、2022年3月16日、https://eset-info.canon-its.jp/malware_info/special/detail/220316.html）        

^*6 Ruthlessness, Scale, and Sophistication: How Cyber Crime Evolved in 2021（BlackBerry ThreatVector Blog、2022年4月28日、https://blogs.blackberry.com/en/2022/04/ruthlessness-scale-and-sophistication-how-cyber-crime-evolved-in-2021）

^*7 Sophos 2022 Threat Report Interrelated threats target an interdependent world（Sophos、2021年11月9日、https://www.sophos.com/en-us/labs/security-threat-report）

^*8 Suspected Conti Ransomware Activity in the Auto Manufacturing Sector（DRAGOS、2022年3月16日、https://www.dragos.com/blog/industry-news/suspected-conti-ransomware-activity-in-the-auto-manufacturing-sector/）

^*9 Cyber Threats 2021: A Year in Retrospect（PwC、2022年4月29日、https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/cyber-year-in-retrospect.html）