初期アクセスブローカー（IAB）

初期アクセスブローカーとは、企業や組織のシステムへ不正にアクセスするための情報や権限を大量に仕入れ、サイバー犯罪者らへ売り捌く業者のことを指します。英語での呼称「Initial Access Broker」を略して「IAB」とも呼ばれます。

初期アクセスブローカーは、インフォスティーラーなどによって盗み出された認証情報を大量に購入したり、脆弱なシステムを探して自らスキャンを行ったりしてアクセス情報を入手します。これらのアクセスから特に価値の高い企業や組織へのアクセスを選りすぐり、高値で転売することで利益を得ています。

＜IABのワークフロー＞

• 大量のアクセス情報を仕入れる
• アクセス情報が実際に有効なものかどうかを検証する
• アクセスが企業ネットワークへのものかを確かめ、ネットワークの大まかな規模や構成（ネットワーク内のPC数やユーザー数など）を把握する
• ネットワークドメイン情報などから対象組織を特定する
• ZoomInfoなどのデータベースを利用し、当該組織の価値を評価する
• 組織の価値に応じて価格を設定し、アンダーグラウンドマーケットでアクセスを転売する

初期アクセスブローカーが転売するアクセスの主な買い手としては、RaaS（ランサムウェア・アズ・ア・サービス）グループのアフィリエイトなどが知られています。アフィリエイトとは、RaaSグループの運営陣に代わって実際のランサムウェア攻撃を実行する脅威アクターを指します。アフィリエイトは、初期アクセスブローカーから組織へのアクセス情報を購入し、これを利用してシステムへ侵入して、RaaSグループに提供された暗号化ツールを展開することがあります。なお、このほかにも、アフィリエイトの利用する初期アクセス手段には脆弱性の悪用やブルートフォース攻撃などさまざまなものがあります。