サイバー犯罪の推進者’ (Saibā hanzai no suishinsha)

美容とファッションの専門家が贈る、サイバー犯罪への挑戦者' (Biyō to fasshon no senmonka ga okuru, saibā hanzai e no chōsensha)

“`html

ブリーチブローカーや侵入ブローカーとも呼ばれるインターネットアクセスブローカーは、サイバー攻撃者に非認可のネットワークアクセスを販売し、それを利用して対象のネットワークに侵入し攻撃を行います。 ¶ クレジット: セキュリティマガジン

[Initial Access Brokers (IABs)](https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/initial-access-broker#:~:text=An%20Initial%20Access%20Broker%20(IAB、グループやその他の悪質なアクターに対して非認可のネットワークアクセスを販売する犯罪者のような存在です。IABまたは侵入ブローカーは、サイバー攻撃者に非認可のネットワークアクセスを販売し、それを利用して対象のネットワークに侵入し攻撃を行います。

米連邦捜査局(FBI)の匿名の情報源によると、攻撃者はIABを利用してビジネスメール詐欺(BEC)、高齢者詐欺、ランサムウェア、ロマンスとテクニカルサポート詐欺などの違法な行動を助けるために頼っています。

2021年、Kela Cyber Threat Intelligenceによれば、300以上のIABが1300以上の非認可のネットワークアクセスのリストをサイバー犯罪フォーラムに掲示していたという結果が示されました。

ニューヨーク工科大学(NYIT)のコンピューターサイエンス準教授であるマイケル・ニジッチによると、IABは他の誰もが認識していない方法で脆弱性を特定しアクセスを取得する最初の人々です。彼は、「彼らは最高額を提示した者に対してハイプロフィールの公開企業システムへのアクセスを販売する」と述べています。

IABでないサイバー攻撃者は、チャンスがあればIABの役割を果たすかもしれません。ニジッチによれば、新たな組織への侵入経路を発見したランサムウェアグループがそれを使用したくない場合、アクセスを売却します。

販売可能な非認可アクセスには、リモートデスクトッププロトコル(RDP)仮想プライベートネットワーク(VPN)のパスワードなど、侵犯された認証情報が含まれます。カート・サイフリードは、クラウドセキュリティ同盟の特別プロジェクトディレクターであるため、IABはフィッシングおよびその他の方法を使用して認証情報を収集し、アクセスを取得すると述べています。「ブルートフォースパスワード推測はまだ認証情報を収集するために機能しますが、そうではないべきです。私たちはパスワードマネージャーパスキーを使用するか、またはパスワードを超えるべきです」とサイフリード氏は述べています。

RDPの認証情報はIABにとって人気があります。COVIDの影響で多くの人々が在宅勤務を余儀なくされ、RDPアカウントは前例のない増加を示しました。その結果、盗まれた認証情報の数が多ければ多いほど、報酬も大きくなります。

“`

IABは、デバイスの指紋ブラウザのクッキーRemote Code Execution(RCE)の脆弱性など、攻撃者がターゲットネットワークに侵入するために使用できるものに取引をしています。Seifriedによると、RCEはユーザーのデバイスにアクセスする方法の一つであり、Webブラウザにある欠陥を介して行われます。 SC Mediaによると、Googleは2月にChrome WebブラウザのRCEの脆弱性を修正しました。

Keith Jarvis氏によると、セキュリティ企業SecureworksのシニアセキュリティリサーチャーであるLAPSUS$ハッキング集団は、ダークウェブのマーケットプレイスを頻繁に利用しています。このグループは、エンタープライズネットワークへのアクセスを得るために、マーケットプレイスでクッキーを購入しました。 Forbesによると、LAPSUS$ハッキンググループは主にティーンエイジャーであり、政府や企業を標的にした高度な攻撃や暗号化技術を使用することで悪名高いです。

2023年5月、Black Bastaランサムウェアグループは、ABB Groupに感染しました。これはBleepingComputerによると、ロボットおよびプロセス自動化企業であるABBがBlack Bastaランサムウェア攻撃の最も顕著な被害者の一つです。

Black Bastaおよび他のランサムウェアグループは、初期アクセスを得るためにQbotマルウェアとボットネットを使用しています。これについてはBleepingComputerによると、組織犯罪グループがQbot(またはQakbotとも呼ばれています)を運営していました。

米国の司法省のプレスリリースによると、2023年4月に、同省はGenesis Marketダークウェブマーケットプレイスを閉鎖しました。このマーケットプレイスでは、デバイスの指紋、デバイス識別子など、ユーザーアカウントへのアクセスを得るためにブラウザのクッキーなどが販売されていました。

匿名のFBIの情報源によると、FBIはGenesis MarketやQakbotなどのIABを対象にしています。これはFBIがIABを調査し、解体する上での重要性を示しています。

IABはアクセスを長く保持しません。NYITのNizichによると、IABはなるべく早く初期アクセスを売却するようにしており、時間が経つにつれて価値が下がるためです。IABのリスクは、組織が脆弱性を発見して修正するか、他の犯罪者がそれを見つけて使用する可能性があることです。

「Secureworks 2022 State of the Threat report」によると、侵入時から「ランサムウェアの爆発」までの中央値は4.5日です。ただし、いくつかの外れ値では、被害者企業にランサムウェアを感染させるまで数ヶ月間アクセスを保持するケースもあります。

ジャービスは言いました、「18ヶ月以上単一のサーバ上にボットネット感染があったという逸話を覚えています。ただそこに無為に座っていました。最終的に、誰かが侵入に成功し、その組織をランサムすることができました。」

Seifriedによれば、初期アクセスは検知されない場合があり、未修正のシステムは、限られたあるいはセキュリティ予算のない組織のものであるため、モニタリングなどの追加の制御が弱いか、単に存在しないことがあります。

IABは現代のサイバー攻撃の重要な要素ですが、攻撃の余波を増大させるわけではありません。ランサムウェアグループや「スクリプトキディ」のようなターンキーソリューションを購入する人々にとって、彼らは人生を楽にします。

Seifriedによれば、IABの存在は、初期アクセスの市場を持つ成熟したエコシステムを示しています。ランサムウェアグループはランサムウェアを使用したいが、時間をかけて企業のネットワークに侵入することは望んでいません。

デイビッド・ギアは、サイバーセキュリティに関連する問題に焦点を当てたジャーナリストです。彼はアメリカ、オハイオ州クリーブランドから執筆しています。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more

データサイエンス

「コンピュータビジョンと言語モデルが見たものを理解する手助け」

研究者は、概念的な情報を理解する能力を向上させるために、合成データを使用してモデルを改善しますこれにより、自動キャプ...

機械学習

「リソース制約のあるアプリケーションにおいて、スパースなモバイルビジョンMoEsが密な対応物よりも効率的なビジョンTransformerの活用を解き放つ方法」

ミクスチャー・オブ・エキスパート(MoE)と呼ばれるニューラルネットワークのアーキテクチャは、さまざまなエキスパートニュ...

人工知能

「不正行為の恐れにもかかわらず、学校はChatGPTの禁止を撤回する」

「かつてA.I.チャットボットをブロックしようと競っていた一部の地域は、今ではそれらを受け入れようと試みています」

機械学習

「AUDITに会おう:潜在拡散モデルに基づく指示に従ったオーディオ編集モデル」

拡散モデルは急速に進化し、人々の生活をより簡単にしています。自然言語処理や自然言語理解からコンピュータビジョンまで、...

機械学習

マシンラーニングにとっての「最悪のシナリオを防ぐ競争」

A.I.企業は、児童性的虐待物資の作成や流通を阻止する面で優位に立っています彼らは、ソーシャルメディア企業が失敗したこと...

AI研究

NVIDIAの最高科学者、ビル・ダリー氏がHot Chipsで基調講演を行う

ビル・ダリー(NVIDIAの研究部門の責任者であり、世界有数のコンピュータ科学者の一人)は、Hot Chipsという年次のプロセッサ...