サイバー犯罪の推進者’ (Saibā hanzai no suishinsha)
美容とファッションの専門家が贈る、サイバー犯罪への挑戦者' (Biyō to fasshon no senmonka ga okuru, saibā hanzai e no chōsensha)
“`html
[Initial Access Brokers (IABs)](https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/initial-access-broker#:~:text=An%20Initial%20Access%20Broker%20(IAB、グループやその他の悪質なアクターに対して非認可のネットワークアクセスを販売する犯罪者のような存在です。IABまたは侵入ブローカーは、サイバー攻撃者に非認可のネットワークアクセスを販売し、それを利用して対象のネットワークに侵入し攻撃を行います。
米連邦捜査局(FBI)の匿名の情報源によると、攻撃者はIABを利用してビジネスメール詐欺(BEC)、高齢者詐欺、ランサムウェア、ロマンスとテクニカルサポート詐欺などの違法な行動を助けるために頼っています。
2021年、Kela Cyber Threat Intelligenceによれば、300以上のIABが1300以上の非認可のネットワークアクセスのリストをサイバー犯罪フォーラムに掲示していたという結果が示されました。
ニューヨーク工科大学(NYIT)のコンピューターサイエンス準教授であるマイケル・ニジッチによると、IABは他の誰もが認識していない方法で脆弱性を特定しアクセスを取得する最初の人々です。彼は、「彼らは最高額を提示した者に対してハイプロフィールの公開企業システムへのアクセスを販売する」と述べています。
IABでないサイバー攻撃者は、チャンスがあればIABの役割を果たすかもしれません。ニジッチによれば、新たな組織への侵入経路を発見したランサムウェアグループがそれを使用したくない場合、アクセスを売却します。
販売可能な非認可アクセスには、リモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)のパスワードなど、侵犯された認証情報が含まれます。カート・サイフリードは、クラウドセキュリティ同盟の特別プロジェクトディレクターであるため、IABはフィッシングおよびその他の方法を使用して認証情報を収集し、アクセスを取得すると述べています。「ブルートフォースパスワード推測はまだ認証情報を収集するために機能しますが、そうではないべきです。私たちはパスワードマネージャーとパスキーを使用するか、またはパスワードを超えるべきです」とサイフリード氏は述べています。
RDPの認証情報はIABにとって人気があります。COVIDの影響で多くの人々が在宅勤務を余儀なくされ、RDPアカウントは前例のない増加を示しました。その結果、盗まれた認証情報の数が多ければ多いほど、報酬も大きくなります。
“`
IABは、デバイスの指紋、ブラウザのクッキー、Remote Code Execution(RCE)の脆弱性など、攻撃者がターゲットネットワークに侵入するために使用できるものに取引をしています。Seifriedによると、RCEはユーザーのデバイスにアクセスする方法の一つであり、Webブラウザにある欠陥を介して行われます。 SC Mediaによると、Googleは2月にChrome WebブラウザのRCEの脆弱性を修正しました。
Keith Jarvis氏によると、セキュリティ企業SecureworksのシニアセキュリティリサーチャーであるLAPSUS$ハッキング集団は、ダークウェブのマーケットプレイスを頻繁に利用しています。このグループは、エンタープライズネットワークへのアクセスを得るために、マーケットプレイスでクッキーを購入しました。 Forbesによると、LAPSUS$ハッキンググループは主にティーンエイジャーであり、政府や企業を標的にした高度な攻撃や暗号化技術を使用することで悪名高いです。
2023年5月、Black Bastaランサムウェアグループは、ABB Groupに感染しました。これはBleepingComputerによると、ロボットおよびプロセス自動化企業であるABBがBlack Bastaランサムウェア攻撃の最も顕著な被害者の一つです。
Black Bastaおよび他のランサムウェアグループは、初期アクセスを得るためにQbotマルウェアとボットネットを使用しています。これについてはBleepingComputerによると、組織犯罪グループがQbot(またはQakbotとも呼ばれています)を運営していました。
米国の司法省のプレスリリースによると、2023年4月に、同省はGenesis Marketダークウェブマーケットプレイスを閉鎖しました。このマーケットプレイスでは、デバイスの指紋、デバイス識別子など、ユーザーアカウントへのアクセスを得るためにブラウザのクッキーなどが販売されていました。
匿名のFBIの情報源によると、FBIはGenesis MarketやQakbotなどのIABを対象にしています。これはFBIがIABを調査し、解体する上での重要性を示しています。
IABはアクセスを長く保持しません。NYITのNizichによると、IABはなるべく早く初期アクセスを売却するようにしており、時間が経つにつれて価値が下がるためです。IABのリスクは、組織が脆弱性を発見して修正するか、他の犯罪者がそれを見つけて使用する可能性があることです。
「Secureworks 2022 State of the Threat report」によると、侵入時から「ランサムウェアの爆発」までの中央値は4.5日です。ただし、いくつかの外れ値では、被害者企業にランサムウェアを感染させるまで数ヶ月間アクセスを保持するケースもあります。
ジャービスは言いました、「18ヶ月以上単一のサーバ上にボットネット感染があったという逸話を覚えています。ただそこに無為に座っていました。最終的に、誰かが侵入に成功し、その組織をランサムすることができました。」
Seifriedによれば、初期アクセスは検知されない場合があり、未修正のシステムは、限られたあるいはセキュリティ予算のない組織のものであるため、モニタリングなどの追加の制御が弱いか、単に存在しないことがあります。
IABは現代のサイバー攻撃の重要な要素ですが、攻撃の余波を増大させるわけではありません。ランサムウェアグループや「スクリプトキディ」のようなターンキーソリューションを購入する人々にとって、彼らは人生を楽にします。
Seifriedによれば、IABの存在は、初期アクセスの市場を持つ成熟したエコシステムを示しています。ランサムウェアグループはランサムウェアを使用したいが、時間をかけて企業のネットワークに侵入することは望んでいません。
デイビッド・ギアは、サイバーセキュリティに関連する問題に焦点を当てたジャーナリストです。彼はアメリカ、オハイオ州クリーブランドから執筆しています。
We will continue to update VoAGI; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
