第672号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析
コラム題:「サイバー攻撃者が収集・共有・利用する『私たちの情報』」

 最近、国内外の企業が、ランサムウェア攻撃の被害を受けていることを受けて、多くのリサーチャーが攻撃者の行動を掴もうと、さまざまな形態による努力が行われている。中には、ランサムウェア攻撃グループが新しい(攻撃)仲間を集めようと公開している「求人広告」に応募して、覆面調査を行う者も存在する。

Million-dollar deposits and friends in high places: how we applied for a job with a ransomware gang

 筆者は、2009年頃から攻撃者の行動を掴む努力をしているが、最近、攻撃者の規模が急激に拡大し、その能力や性質が大きく変化している印象を持っている。今回のコラムでは、その状況を読者のみなさんと共有させていただきたい。

 さまざまなダークウェブマーケットで攻撃者が相互に流通させている情報を観察するなかで、攻撃活動に直接役に立ちそうには見えなかったが、後になって、サイバーキルチェーンにおける「偵察」をしていたのではないかと推定された事例がある。

 あるダークウェブマーケットにおける売買サイトは、特定サービスの資格情報(ID、メールアドレス、パスワードなど)のセットや要求する書き込みがほとんどであった。ある日、唐突に「特定素材を販売する企業」の情報(国、社名、サイトURLなど)を要求する書き込みが現れた。その数カ月後、ある企業において発生したランサムウェア攻撃の調査が行なわれた結果、侵入経路が「(前述の)特定素材を販売する企業」のWebサイト(WordPressにインストールされていたプラグインの脆弱性を悪用)を介した水飲み場攻撃であることが判明した。この因果関係を追求するに足りる情報が見当たらなかったため、推定の域を超えないものであるが、「水飲み場攻撃の成功率を向上させるために、事前にダークウェブマーケットで情報を調達したのではないか」と思わせる興味深い事例であった。

 これは、筆者が参画している海外の専門家コミュニティのメンバ同士の情報連携の中で発見したものである。たまたま異なる専門領域を持つリサーチャーたちが同じコミュニティに参加して、かつ異なる議論が交錯する中で、共通するキーワード「特定素材」が同じ会話スレッドで触れられていた。そこに、新たに発言しようとする者の目に止まったことで話題になったものである。揮発性のある情報が流れるだけの専門家コミュニティにおいて、数ヶ月という時間軸上の違いのある異なる出来事の関係性を追求することはほとんどない。本当に偶然であったが、最近、このような仮説レベルの「攻撃者の行動」を立証するような調査分析が複数報告され、議論が活発に行なわれている。例えば、米国フロリダ州の水処理システムに対する最初の攻撃ベクトルが、同州の水インフラ建設会社のWebサイトを介した「水飲み場攻撃」であったという分析結果が諸外国のメディアで報じられている。

 現在、この売買サイトには、さまざまなノンテクニカル情報を要求または提供をしようとする書き込みが行なわれ、売買成立後に情報提供者に相応の報酬が支払われている様子が見られている。そのため、専門家コミュニティは忙しく攻撃の予見性を得るための努力をしている。

 このように、ダークウェブマーケットでは、サイバー攻撃のための収集、共有、利用される可能性のある情報の売買や流通が活発に行なわれている。また、筆者が攻撃者の行動を掴むための努力の中で、最近のダークウェブマーケットにおいて目立っているように感じる情報として、次のようなものがある。

 ・個人及び法人の購買や取引等の情報
 ・特定のアプリが収集したと思われる情報
 ・特定のカンファレンスの参加者情報
 ・買収先情報(特に、デューデリジェンスレポート)
 ・何かしらのセキュリティテストのレポート
 ・何かしらの基準で分類された大量の写真と動画(一般ユーザーと見られるもので価値が不明)

 この他にも、さまざまな種類の情報が流通している。特定の事業分野や企業が特定されるようなものは言及を避けているため、上記の倍ほどの種類があると見ていただきたい。

 これらは、不正に販売されているアカウントの資格情報やクレジットカードなどの情報に比べ、情報提供に係る報酬は低いが、提供者は自身の言語や文化の範囲で、要求された情報を収集しており、短時間のうちに複数の提供者が現れていることがある。中には、特定の言語に特化した他のサイバー犯罪者コミュニティで流通している漏洩情報を転用している様子も伺える。攻撃者や犯罪者の相互の言語や文化の壁が低くなってきていることをひしひしと感じている。

 残念ながら観察者の立場では、どのような背景や意図があるのかを理解あるいは推定することはできていない。しかし、攻撃者間の情報取引は、以前より格段にカジュアルになっており、まるで手元のスマホ上のフリマアプリで要不要なモノを売買をしているような印象である。

 今回のコラムは、筆者の活動の一端で見出したことに触れた形になったが、これを読者にお伝えすべきという筆者の強い思いから、少し率直に書かせていただいた。

 「私たちの情報」は、サイバー攻撃者の「市場」に強い吸引力をもって吸い寄せられている。一方、私たちは、プライバシーポリシーを精読せずに(収集した個人情報などを積極的に営利活動に利用する)オンラインサービスやアプリを気軽に使い始めているが、結果として、サイバー攻撃者の「市場」に陳列される商品(私たちの情報)を自ら量産している構図になっている。

 読者の皆さんに、サイバー脅威から身を守っていただくために、単純なアクションアイテムをお伝えしても、おそらく読んだ直後から忘却される方が多いと思う。そのため、筆者は、皆さんにサイバー脅威がもたらされる仕組みを理解していただくことが重要と考えている。

 インターネットの利用をする際は、どうか「ご安全に!」

【著作権は、名和氏に属します】