Threat Report

Cyber Intelligence

Flashpoint

Intelligence

2022年の侵害とマルウェア脅威の概況：Flashpointの年間レビュー

morishita

2022.12.21

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2022年12月13日付）を翻訳したものです。

本記事はシリーズ「2022年年間レビュー」の一部で、過去1年間の最も重要なトレンドと2023年の展望を紹介するものです。

関連記事：「2022年のインサイダー脅威概況：Flashpointの年間レビュー」、「2022年の暗号資産をめぐる脅威の概況：Flashpointの年間レビュー」

要点

本記事では、2022年1月1日から2022年11月30日までに観測された、侵害されたデータ（データベースやネットワークへのアクセスに関する主張を含む）、ハッキングサービス、およびさまざまな種類やタイプのマルウェアに関する違法フォーラム上の注目すべき広告のトレンドについて取り上げています。

✔️2022年に報告された中で、最も多く標的となった業界は、政府、金融、小売業でした。

✔️今年報告された侵害の中で、最も多く標的とされた地域は米国でした。

✔️脅威アクターがハッキングサービス、マルウェア、エクスプロイトについて宣伝・議論する場として最もよく使われたのは、Breach Forums、Exploit、XSSといった多くの人に利用されるフォーラムでした。

✔️ハッキングサービスやマルウェアの広告の中で最も人気があった商品の1つは、フィッシングページでした。

データ侵害の概況

脅威アクターの主な動機は利欲であり、業界に関係なくあらゆる組織を標的とします。そのため、データ侵害（※）は、ハッカーの手法や戦術を理解するための重要なヒントを与えてくれます。なぜなら、ハッカーは、不正なマーケットプレイスで販売されている大量のマルウェアやハッキングサービスを利用して、ターゲットのネットワークに不正アクセスするために必要なことは何でも行うからです。

（※訳者注）データ侵害とは、慎重に扱うべきデータが意図せず公開状態になることや、権限を持たない人物やグループによってデータがリークされたり盗まれたりすることを言います。侵害は偶発的に起こる場合もあれば、怠慢によっても起こり得るほか、標的型攻撃を受けた結果として侵害が発生することもあります。（参考：Flashpointブログ “Data Breaches: What They Are, Why They Occur, and How to Prevent Them”）

このように、データ侵害を調査することは、組織とそのセキュリティチームがセキュリティ管理とインシデント対応計画を改善するのに役立ちます。データ侵害の被害者や発生場所を理解することは、自社のリスクプロファイルを可視化することにつながります。

2022年のデータ侵害の概況は以下のとおりです。

最も影響を受けた業界

当社の調査チームによると、今年世界で発生したデータ侵害の報告件数は合計4,146件でした。これらのインシデントのうち、最も多くの侵害を経験した上位3つの業界は、政府、金融、および小売でした。

図1：今年報告されたデータ侵害のうち、特に多く狙われた上位業界

しかし、ヘルスケアや科学技術といった業界も侵害による影響を受けていたものの、4つめに被害の多い業界には「不明」がランクインしています。「不明」というカテゴリは、宣伝または流出したデータセットからは被害者を特定することができなかったものを指しています。この現象は、情報が公開されていなかった、またはデータそのものや共有されたサンプルに特定できるだけの情報が不足していた場合に発生します。

政府

昨年の調査結果と同様に、政府関連の侵害やアクセスに関する広告が、他の業界と比較して最も多くなっています。ただし、違法なマーケットプレイスにおける脅威アクターの広告の多くが、政府機関特有のデータセットや情報を含んでいた一方で、多くの侵害は、社会保障番号、運転免許証、パスポート、およびその他の政府発行の文書など、政府から提供された特定の情報を含む記録により「政府」と分類されていることに注意が必要です。

金融および小売

今年の報告では、金融・小売関連のデータ侵害やアクセスに関する広告が、2番目と3番目に多く言及された分野でした。Flashpointのアナリストは、この理由の少なくとも一部は、金銭的な動機で金融や顧客に関する秘密情報を盗もうとする脅威アクターがいるためだと評価しています。

さらに、Flashpointのアナリストは、金融関連の「fullz」（クレジットカード情報のフルセット）や、小売業者のEコマースプラットフォームやコンテンツ管理システムへのアクセスに関するExploit上のオークション（※）が比較的多かったことも確認しました。

（※訳者注）漏洩したデータやアクセス権などは、脅威アクターによってオークション形式で販売されることがあります。

小売業者のネットワークアクセスの広告においては、ほとんどの脅威アクターが、クレジットカードで決済されたオンライン注文の数を明確に伝えており、脅威アクターにとってクレジットカード情報がいかに重要であるかが浮き彫りになっています。

ヘルスケア

従来、侵害に関する報告の中で最も人気のある広告の1つはヘルスケア情報でしたが、ヘルスケアに関する広告は昨年からわずかに減少しています。この傾向には、不正なコミュニティにおけるデータの販売数とは対照的に、ヘルスケアデータが共有されるケースは増えていることが大きく影響していると思われます。このような現象がなぜ起こっているのか、すぐには明らかになりませんが、Flashpointのアナリストは、侵害されたり漏洩したヘルスケアデータが、それを最初に盗んだ人々自身によって使用されるケースが増えていることが示唆されている可能性がある点に注目しています。

広告が減ったとはいえ、ヘルスケア業界におけるデータ侵害が減ったというわけではありません。FlashpointのCyber Risk Analytics（CRA）からの情報によると、ヘルスケア業界は依然として脅威アクターによって頻繁に侵害されています。

図2：データ漏洩の影響を受けた業界トップ10（情報源：CRA）

ヘルスケア関連の広告が減少していることと、観測されたヘルスケア業界における侵害の件数が多いことから、侵害に成功した脅威アクターは、この情報を不正なコミュニティ内で直ちに宣伝しないことを選択している可能性が高いという仮説がさらに強まりました。さらに、米国のヘルスケア業界は、保健福祉省による厳格なデータ侵害報告規則の対象です。この事実も、ヘルスケア侵害の報告件数が全体的に多いことの一因となっている可能性があります。

標的にされることが特に多かった国々

マーケットプレイスや違法フォーラム上の販売者は、データセットやアクセスの広告に関連する地理的な場所を開示することが多くなっています。その結果、侵害の発生場所に関して、「不明」に分類されるものの割合はごくわずかとなっています。

図3：侵害されたデータとアクセスに関する広告の国別分布

標的になる頻度が最も多かった国は、今年1年間を通じて変わらず、米国でした。Flashpointのコレクション（※）と報告によると、米国で最も多く被害を受けた業界は、政府、金融、小売でした。

（※訳者注）Flashpointのコレクション：Flashpoint社がさまざまな情報源（ダークウェブフォーラムやオープンソースのサイト、ソーシャルメディアなど）から収集しているデータの集合

図4：上位10か国に影響を与える広告を業界別に分類したもの

しかし、留意しておくべきなのは、一部の広告においては、脅威アクターが「CIS」（独立国家共同体）諸国は標的にしていないと明言していた点です。このことは、ロシアへの忠誠心やロシアとの提携を示唆している可能性があり、米国の企業が大量に標的とされていることの説明になり得ます。

マルウェアとハッキングサービス

2022年1月から11月にかけて、脅威アクターがハッキングサービスやマルウェア、エクスプロイトの広告や議論の場として特に多く利用したのは、XSS、Exploit、およびBreach Forumsでした。今年は、2つのマーケットプレイスが、マルウェアやハッキングに関する言及が多くなされた情報源のトップ10に入りました。その2つとは、Alpha Bank LogsとAbacusです。

図5：特に広告数の大多かったハッキングサービス/マルウェアの種類（情報源別）

昨年と比較して、2022年に最も話題になったハッキングサービス/マルウェアは、フィッシングと情報窃取マルウェアの2つでした。

図6：過去1年で最も議論されたマルウェアの種類およびハッキングサービス、トップ10

フィッシング

フィッシングは、今年最も宣伝されたタイプのマルウェア/ハッキングサービスでした。フィッシングページやサービスの広告や勧誘は、Flashpointのマーケットプレイスコレクション内で（特に、金融詐欺関連のクリアネットマーケットであるAlpha Bank Logs上で）よく行われました。

DDoS（分散型サービス拒否）

分散型サービス拒否（DDoS）攻撃は、Flashpointのコレクション内でも、一般的なレポートでも、今年顕著に見られました。今年の初めに世界各地で観測されたDDoS攻撃の急増は、ロシア・ウクライナ戦争によって悪化した政治的緊張とハクティビズムに起因していると考えられます。Radwareの調査によると、2022年の最初の6か月間にDDoS攻撃が急増したとのことで、2022年上半期の件数は2021年上半期と比較して203％増加したことが報告されています。

DDoSに関わるサービスの直接的な広告や勧誘のほか、ボットネットや防弾ホスティングといったサービスも、DDoS攻撃の実施に関連している可能性があります。

ランサムウェア

ランサムウェアの広告や勧誘については、今年はその大半がBreach Forumsで行われました。この背景の1つとしては、2021年にXSSや他のロシア語フォーラムがランサムウェアの広告を禁止したことが挙げられるかもしれません。なお、このような禁止措置が講じられたのは、重要インフラへの攻撃が行われたことによって法執行機関から不要な注目を浴びるようになったためです。

Flashpointを使ってデータや資産の保護を

Flashpointの実用的なインテリジェンス・ソリューション一式により、企業は、人、場所、資産を危険にさらすサイバーリスクと物理的リスクをプロアクティブに特定し、軽減することができます。優れた脅威インテリジェンスのパワーを引き出すために、まずはFlashpointの無料トライアルをお試しください。

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

詳しくは以下のフォームからお問い合わせください。