セキュリティ企業Cybersixgillの最新レポート「サイバー犯罪アンダーグラウンドの現状2023」によると、脅威アクターは暗号化メッセージングプラットフォーム、初期アクセスブローカー、生成AIモデルの利用を強化している。このレポートでは、これによりサイバー犯罪への参入障壁が低下し、「ランサムウェア攻撃の武器化と実行が合理化されている」と指摘している。
この調査は、暗号化されたプラットフォーム上の1,000万件の投稿と、ディープウェブ、ダークウェブ、そしてクリアウェブから掘り起こされた様々なデータに基づいています。Cybersixgillの北米脅威情報担当ディレクター、ブラッド・リゲット氏は、これらの用語を次のように定義しました。
- クリア ウェブ:通常のブラウザからアクセスでき、アクセスに特別な暗号化を必要としないサイト (例: CNN.com、ESPN.com、WhiteHouse.gov)。
- ディープ ウェブ:検索エンジンによってインデックス化されていないサイト、またはゲートされてアクセスが制限されているサイト。
- ダーク ウェブ: Tor (オニオン ルーター ブラウザ)、ZeroNet、I2P などの暗号化されたトンネリング プロトコルを使用してのみアクセスできるサイト。
「これらのプラットフォーム上のチャンネルで収集しているのはメッセージです」と彼は述べた。「友人や家族とグループテキストでやり取りしているのと同じように、これらのチャンネルはライブチャットグループなのです。」
Torが犯罪者の間で人気なのも同じ理由だ。抑圧的な政権に囚われた人々に、情報を外の世界に持ち出す手段を与えるからだ、とアークティック・ウルフ・ラボの副社長兼代表ダニエル・サノス氏は言う。
「これは完全に暗号化された、フェデレーション型のピアツーピアルーティングシステムなので、ウェブサイトを隠蔽することが可能です。アドレスを知らない限りアクセスできません」と彼は述べた。「そして、そのルーティング方法により、誰かを追跡することは事実上不可能です。」
ジャンプ先:
- サイバー犯罪者によるメッセージが大幅に増加した後、昨年はわずかに減少した
- ダークウェブからディープウェブへ:オニオンは減り、アプリは増える
- 使いやすさはディープウェブプラットフォームに有利
- 初期アクセスブローカーのビジネスが急成長中
- デジタル衛生の不備により、脅威アクターはより大きな利益を得られるようになる
サイバー犯罪者によるメッセージが大幅に増加した後、昨年はわずかに減少した
サイバー犯罪者は、暗号化されたメッセージングプラットフォームを、共同作業、通信、ツール、盗難データ、サービスの取引に利用します。これは、自動化機能を備えているため、サイバー攻撃の理想的な足掛かりとなることが一因です。しかし、Cybersixgillの調査によると、脅威アクターの数は減少しており、少数のプラットフォームに集中していることが示唆されています。
サイバーシックスギルが収集したデータは、2019年から2020年にかけて暗号化メッセージングプラットフォームの利用が急増したことを示しており、収集されたアイテムの総数は730%増加しました。同社の2020~2021年の分析では、この数は338%増加し、2022年にはわずか23%増加して、メッセージングプラットフォームから収集されたアイテム数は約19億件となりました(図A)。
図A
「ワークフローのアクティビティを考えると、さまざまなフォーラムにログインして投稿を読むよりも、メッセージング プラットフォーム上のチャネルを閲覧する方が速くて簡単です」と Liggett 氏は述べています。
ダークウェブからディープウェブへ:オニオンは減り、アプリは増える
ダークウェブ・オニオンサイト全体では、フォーラム投稿と返信の総数は2021年から2022年にかけて13%減少し、9,170万件以上から約7,910万件に減少しました。また、レポートによると、主要フォーラムに積極的に参加している脅威アクターの数もわずかに減少しました。
サイバー犯罪フォーラム上位10サイトの2021年の月間ユーザー数の平均は165,390人でしたが、2022年には4%減少して158,813人になりました。しかし、これら10サイトの投稿数は28%近く増加しており、フォーラム参加者がより活発になったことを示しています。
調査によれば、過去にはほとんどの脅威アクターがダークウェブのみで活動していたが、近年はディープウェブの暗号化メッセージングプラットフォームへの移行が進んでいるという。
使いやすさはディープウェブプラットフォームに有利
サイバー犯罪者は、より高度な技術スキルを必要とするTorに比べて比較的使いやすいため、ディープウェブ・プラットフォームを好んで利用しています。「容易にアクセスできるプラットフォーム、チャット、チャネルを通じて、脅威アクターは協力し、コミュニケーションを取り、ツール、盗難データ、サービスをダークウェブと並行して運営される違法ネットワークで取引しています」と、この調査は述べています。
「人々はこれらのプラットフォーム上でリアルタイムにコミュニケーションをとる傾向があります」とリゲット氏は述べた。「ダークウェブ上のフォーラムやマーケットプレイスは、必ずしも高い稼働率を保っているわけではないことで有名です。一定期間後にオフラインになることもありますし、最近見られたように法執行機関や政府機関に押収されるケースもあります」と彼は述べ、そうしたプラットフォームの一つであるRaidForumsが2022年に閉鎖され、BreachedForumsもわずか数週間前に閉鎖されたことを指摘した(図B)。
図B
サイバー犯罪者はこれらのディープウェブチャネルに集まる
リゲット氏によると、脅威アクターにとって最も利用されているメッセージングプラットフォームはTelegramだ。他には以下のものがあるという。
- Discordはゲーマーに好まれるメッセージング プラットフォームです。
- ICQは1990年代に初めて導入され、2010年にロシア企業に買収されました。
- QQは中国で人気のコミュニケーションプラットフォームです。
- Wickrは、Amazon Web Services のニューヨークを拠点とする部門です。
- Signalは、無料のオープンソースの暗号化サービスです。
- Toxも FOSS のピアツーピア システムです。
初期アクセスブローカーのビジネスが急成長中
初期アクセス・ブローカーのエコシステムは、FBIによる多国間囮捜査で摘発・閉鎖されたGenesis Marketのようなダークマーケットとともに成長しています。これらのハブは、認証情報、トークン、侵害されたエンドポイント、企業ログイン情報、Webシェル、cPanel、その他企業ネットワークへの盗まれたアクセスポイントを求める脅威アクターと、IAB間の取引を促進しています。
調査では、サイバー犯罪者の地下世界で販売されるアクセスの市場は、大きく分けて 2 つのカテゴリーに分類されることが指摘されています。
- IAB は、企業ネットワークへのアクセスを数百から数千ドルでオークションにかけます。
- 卸売アクセス市場では、侵害されたエンドポイントへのアクセスが約 10 ドルで販売されています。
調査によると、2021年には450万個以上のアクセスベクターが販売され、2022年には単一市場で1030万個が販売される見通しだ。
サノス氏は、IAB は特定の環境でどの認証情報が機能するかを判別し、それをまとめて販売していると述べた。
「彼らはランサムウェア業者にこう言います。『X、Y、Zという組織にアクセスできる。XドルからYドルくらいの金額を支払ってくれると思う』。彼らは偵察も行っているので、このことを知っている。つまり、ランサムウェア攻撃で予想される金額を知っているのだ」と彼は説明した。「そして、彼らがするのは認証情報を提供して、ほんの少しの金を受け取るだけだ」
彼らが提供するものは、パスワード、APIキー、トークンなど、多岐にわたる。「あるいはアクセスを許可するものであれば何でもいい。ただ、環境に特定の脆弱性があることを彼らは知っていて、それを販売しているだけという場合もある」とサノス氏は述べた。
デジタル衛生の不備により、脅威アクターはより大きな利益を得られるようになる
サノス氏は、ダークウェブで販売されている認証情報の多くは、個人の消費者アカウントからのものであるにもかかわらず、デジタル衛生状態が悪いために組織へのアクセスポイントとなる可能性があると指摘した。つまり、個人アカウントと同じログイン情報を企業アカウントにも使用することで、組織への侵入や横方向の移動が可能になるのだ。
「企業へのアクセスに同じパスワードを使い回しているケースが多いため、残念ながら個人と企業の世界が複雑に絡み合っています。犯罪者はその後、ソーシャルメディア(例えばLinkedIn)で名前を入手し、自動化技術を使って名前とIDを照合し、盗んだパスワードを試します。」
これは多くの場合、クレデンシャル スタッフィングによって行われます。クレデンシャル スタッフィングでは、以前の侵害から取得された、漏洩したユーザー名とパスワードを組み合わせたテキスト ファイルであるコンボリストを使用して、ブルート フォース攻撃によって他の Web アプリケーションまたはモバイル アプリケーションのアカウントを乗っ取ります。
