~依然として企業や組織が最も大きな影響を及ぼしているサイバー犯罪となっているランサムウェア~
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、2023年版ソフォス脅威レポートを公開しました。今回の脅威レポートでは、サイバー犯罪のためのツールや手引きなどがパッケージ化されて提供されるなど商業化が進み、“サービスとしてのサイバー犯罪”が拡大していること、そして誰でも簡単にサイバー犯罪に手を染めることができるようになっている状況について詳しく説明しています。また、本レポートでは、ランサムウェアが依然として企業や組織が最も大きな影響を受けているサイバー犯罪の脅威の1つであり、攻撃者が恐喝の新たな戦術を編み出していることや、窃取された認証情報の需要が増加し続けている状況についても言及しています。
Genesisのようなサイバー犯罪の地下マーケットでは、マルウェアやマルウェアを展開するためのサービス(「サービスとしてのマルウェア」)を購入したり、窃取した認証情報やその他のデータを大量に販売したりすることが可能です。この10年間、ランサムウェアが増殖し、“サービスとしてのランサムウェア”の経済圏が生まれています。2022年現在、このようなサービスとして提供される“XaaS”モデルは拡大と拡充を続けており、初期の感染から検出回避の方法まで、サイバー犯罪のツールキットのほぼすべての機能を購入できます。
ソフォスの主任脅威リサーチャーのSean Gallagherは、次のように述べています。「これまではマルウェア、詐欺、フィッシングキットなどが販売されていましたが、状況は大きく変化しています。高い技術力を有するサイバー犯罪者が、これまで極めて高度な攻撃を実行するために使用されてきたツールや機能を、他のサイバー攻撃者にサービスとして販売しています。たとえば、昨年ソフォスは、攻撃者がCobalt Strikeへの感染を隠ぺいする“サービスとしてのOPSEC”の広告や、Metasploitなどの正規の商用ツールを利用して、脆弱性を特定して攻撃するサービスとしてのスキャンも確認しています。サイバー犯罪のほぼすべての要素がコモディティ化され、脅威環境に影響を与えており、あらゆるスキルレベルのサイバー犯罪者が、攻撃を実行できるようになっています。
“XaaSモデル”」の経済圏の拡大に伴い、サイバー犯罪者の地下マーケットでも商品化が進んでおり、中核的なビジネスとして運営されるようになりました。サイバー攻撃をサービスとして販売している犯罪者は、そのサービスを地下マーケットで宣伝しているだけではなく、高度なスキルを有する攻撃者を採用するための求人情報も掲載しています。一部の地下マーケットでは現在、専用の採用情報ページで攻撃者を募集しており、求職者はこのページで自分のスキルや技能の概要を掲載できるようになっています。
また、Gallagherは次のように述べています。「初期のランサムウェアでは、攻撃に関するすべてのオペレーションがグループ内で行われており、グループのメンバーが攻撃のすべての側面を担っていたため、攻撃範囲は大きく制限されていました。しかし、ランサムウェアが莫大な利益を生むようになるにつれ、生産性を拡大する方法を考えるようになりました。そして、一部の業務をアウトソーシングし、ランサムウェア攻撃を支援するインフラストラクチャを構築するようになりました。現在、このようなインフラストラクチャが成功していることに感化され、他のサイバー犯罪組織も同じ手法を追随しています」
事実、サイバー犯罪のためのインフラストラクチャは拡大し続けており、ランサムウェアは高い人気を維持し、多くの利益を上げています。この1年間にはランサムウェア・オペレーターは、Windows以外のプラットフォームも標的にしており、検出を回避するためにRustやGoといった新しい言語を採用するなど、新たな攻撃サービスを拡大する取り組みを行っています。Lockbit 3.0などの一部のグループは、サイバー犯罪を多角化しており、さらに革新的な恐喝方法を考案しています。
「サイバー犯罪の地下マーケットが拡大して高度化している状況は、ランサムウェア環境にも影響を及ぼしています。たとえば、Lockbit 3.0は現在、同グループが使用しているマルウェアの脆弱性を発見した場合に報奨金を支払うバグバウンティプログラムを実施したり、犯罪コミュニティからオペレーションを改善するためのアイデアを“クラウドソーシング”したりしています。企業や組織から盗み出したデータを利用できる“サブスクリプションモデル”に移行している組織や、それらのデータをオークションに出している組織もあります。ランサムウェアは、ビジネスとして確立されていることを認識しなければなりません」とGallagherは述べています。
地下マーケットの経済の進化は、ランサムウェアや「XaaSモデル」のビジネスの成長を促しただけでなく、認証情報窃取の需要も増加させています。Webサービスの普及に伴い、さまざまな認証情報やCookieが、ネットワークの深部に侵入するために使用されるようになっており、多要素認証(MFA)が回避されるケースも確認されています。また、認証情報の窃取は、スキルレベルが低い未熟な犯罪者が地下マーケットと関わり、犯罪者としての“キャリア”をスタートさせる最も簡単な方法の1つになっていることも変わりません。
また、今回の脅威レポートでは、以下の傾向についての分析結果も記載しています。
- ウクライナでの戦争は、世界的なサイバー脅威環境にも影響を及ぼしています。ロシアによる侵攻の直後は金銭を目的とする詐欺が爆発的に増加した一方で、ナショナリズムによってウクライナ人とロシア人の犯罪同盟、特にランサムウェア攻撃で連携していたグループ間で揺らぎが生じています。
- 犯罪者は、正規の実行ファイルを悪用しており、「環境寄生型バイナリ(LOLBin)」を利用して、ランサムウェアなどのさまざまな攻撃を仕掛けています。攻撃者は、正規の脆弱なシステムドライバを展開する、“Bring Your Own Driver(独自のドライバの持ち込み)”の手法を用いて、EDR製品の機能を無力化し、検出を回避する場合もあります。
- モバイルデバイスは、新しいタイプのサイバー犯罪の中心的な舞台になっています。攻撃者は、マルウェアインジェクター、スパイウェア、バンキングマルウェアを配信するために、依然として偽のアプリを使用していますが、仮想通貨投資詐欺である“豚の屠殺”など、新しい形態のサイバー詐欺も増加しています。これらの犯罪は、Androidユーザーだけでなく、iOSユーザーにも影響を及ぼしています。
- クリプトマイナーの間で最も人気のある暗号通貨であるMoneroの価値が減少したことで、最も古く最も人気があったタイプのクリプトマイニングは減少しましたが、暗号通貨を採掘するマルウェアは、WindowsとLinuxの両方のシステムで自動化された「ボット」によって拡散し続けています。
2022年における脅威環境の変化と、2023年にセキュリティチームが講ずるべき対策などの詳細について、2023年版ソフォス脅威レポート をお読みください。
2023年版ソフォス脅威レポートは、SophosLabs、Sophos SecOps、Sophos AIの3つの専門的な組織が連携して誕生した新しい組織Sophos X-Opsによる調査と分析によってもたらされた知見から構成されています。Sophos X-Opsには、全世界で500名以上のサイバーセキュリティの専門家が在籍しており、複雑化する脅威環境について、さまざまな分野を網羅して全体像を把握する独自の体制を整えています。TwitterでSophos X-Opsをフォローしてサイバー攻撃やTTPの最新情報をご確認ください。また、ソフォスニュースで、サイバーセキュリティの最前線で戦うアナリストによる最新の脅威研究やセキュリティ運用に関する記事とレポートを参照してください。