Threat Report

Cyber Intelligence

Flashpoint

Intelligence

2022年のインサイダー脅威概況：Flashpointの年間レビュー

morishita

2022.12.22

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2022年12月15日付）を翻訳したものです。

本記事は、シリーズ「2022年年間レビュー」の一部で、過去1年間の最も重要なトレンドと2023年の展望を紹介するものです。

関連記事：「2022年の侵害とマルウェア脅威の概況：Flashpointの年間レビュー」、「2022年の暗号資産をめぐる脅威の概況：Flashpointの年間レビュー」

要点

✔️2022年1月1日から11月30日までに、Flashpointは、インサイダーの募集、インサイダーの宣伝、またはインサイダー関連の活動に関する一般的な議論を、合計109,146件（延べ数、重複を除くと22,985件）観測しました。これらの投稿の大部分は、中間層の英語Telegramチャンネルで行われました。

✔️2022年に見られた脅威の前兆は、過去数年間に観測されたものと一致しています。インサイダー脅威となり得る人物は、自らが属する組織に悪影響を与える前に、技術的または非技術的な行動を見せる場合があります。

インサイダー脅威の概況

脅威アクターらはよく、自身の活動の成功率を上げるため、標的とする組織において不満を抱えている従業員や悪意を持つ従業員の助けを得ようとします。結局、内側から侵入を助けてくれる誰かがいるのであれば、脅威アクターは自力でセキュリティ対策をかいくぐるためのリソースを無駄遣いする必要はなくなりますよね？

こういった背景から、インサイダーを募集するという戦術は、システムを侵害したり、ランサムウェア攻撃を実行しようとしているハッカーたちの間で非常に人気になっています。

2022年のインサイダー脅威の概況は以下の通りです。

インサイダー脅威の内訳

今年は、以下に挙げるものがFlashpointによる収集・調査の対象となりました。

・インサイダーサービスを宣伝する内容の投稿、合計109,146件

・不正コミュニティやアンダーグラウンドコミュニティ内の個人による投稿、合計22,985件（重複を除いた数）

・合計3,964件のチャンネル

・合計11,376人の投稿者

（図：2022年の重複を除いたインサイダー投稿数）

2022年の重複を除いたインサイダー投稿の合計数を見てみると、特定されたインサイダー脅威関連の投稿の数は2月が1,299件と最も少なく、7月が2,585件と最も多くなっています。ひと月あたりの平均投稿数は2,090件です。Flashpointは、2022年第1四半期から今年後半にかけての増加の主たる原因は、不法/アンダーグラウンドコミュニティが全体的に成長したことにあると評価しています。例えば、Telegramのコミュニティでは、2022年4月から2022年11月までにアクティブユーザー数が2億人増加しました。Flashpointは、インサイダー脅威や詐欺の手法、データリーク、およびその他の不法なコンテンツに関連する新たなTelegramチャンネルやグループの特定を続けています。

ただし、脅威アクターグループLAPSUS$も、Telegram上のインサイダー脅威が増加したことの一因かもしれません。LAPSUS$は、大規模なオペレーションにおいて、企業の仮想プライベートネットワーク（VPN）へのアクセス権を提供したり、多要素認証の回避を手伝ったりすることができるようなインサイダーを採用することに成功しました。

インサイダー脅威の活動に関して言うと、最も危険に晒されているのは、電気通信業界で事業を行う組織です。これに続くのが、小売関連の組織と金融関連の組織です。

（図：業界別のインサイダー関連投稿）

（図：2022年のインサイダー募集数と宣伝数）

インサイダー脅威の危険を知らせるサイン

インサイダー脅威となり得る人物は、自らの属する組織に悪影響を及ぼす前に、技術的および非技術的な行動を見せる場合があります。こういった行動は、ある従業員が悪意を持つインサイダーであることを直接的に示しているわけではないかもしれませんが、その従業員の活動を監視したり、その従業員によってリスクが高まっているかどうかを判定するための追加調査をしたりする際の根拠にすることができる可能性はあります。

インサイダー活動の兆候を示す非技術的なサイン

以下に挙げるのは、インサイダーに関連している可能性のある、非技術的な警戒すべき兆候です。

1, 経済的困窮：債務の増加、価格の高騰、賃金の低下など、金銭的な負担に関して大きな変化が生じると、従業員がインサイダー脅威へと変化する可能性があります。インサイダーは、フォーラムやチャットサービスを通じて他の脅威アクターに自身のサービスを販売することがあるほか、自らの属する組織において、自分自身で金銭を得るための機会を作る場合があります。

2, 離職：従業員が、好ましくない状況によって組織を離れる場合、インサイダー脅威となるリスクは高まります。

3, 不自然な労働時間：アクターらは、非定型な勤務時間帯を利用してインサイダー脅威活動を行おうとする場合があります。これは、そういった時間帯にはセキュリティ要員が手薄になるためです。非定型のスケジュールを利用することで、脅威アクターらは勤務時間内に自身の通常業務をこなしつつ、それ以外の時間帯に不正な活動を実施することができるのです。

4, 業績の低さ：業務成績の低い従業員は、私生活で予期せぬ変化を経験していたり、組織における自らの立ち位置に関して問題を抱えている場合があります。こういった事情がある従業員は、インサイダーになるという形で自組織に敵対するような行動を取るようになる可能性があります。

5, 予期せぬ金銭の獲得：従業員が予期せぬ形で金銭を得ている場合、その従業員はインサイダーに関連する兆候を示している可能性があります。こういった従業員は、自らの不正な活動によって資金を受け取っているかもしれず、これが通常の収入を補填しているかもしれません。

6, 通常では考えられないような海外旅行：通常とは異なる形で、そして報告もせずに国外へ渡航するという行為は、従業員が外国または国家支援型アクターに採用されようとしているか、またはすでに雇われていることを示している可能性があります。

インサイダー活動の兆候を示す技術的なサイン

以下に挙げるのは、インサイダーに関連している可能性のある、技術的な警戒すべき兆候です。

1, イレギュラーなアクティビティ：自身の職務の範疇からは外れるようなデータにアクセスしている従業員は、自らのアクセス権限の限界をテストしているかもしれません。これにより、自身の役職を悪用しようとしているのです。

2, イレギュラーなダウンロード：データ抜き取りの手法として最もよく見られるのは、インサイダーを利用し、まずはローカルで秘密ファイルをダウンロードしてもらう、というものです。未加工データのダウンロードや大量ダウンロードを通常業務内で行うという職種はほぼ存在しないため、こういった行為はインサイダー脅威活動を示している可能性があります。

3, 許可されていないデバイスの使用：従業員が、許可されていないデバイスを業務に利用している場合、当該デバイス内のデータが失われたり、売りに出されたりするリスクが高まります。というのも、そういったデバイスは企業ネットワーク外に存在しているからです。

インサイダー脅威への対策

組織は、実際に被害が及ぶ前にインサイダーの兆候を示すサインを特定するため、そしてインサイダー脅威活動を抑え込むために、以下のような対策を講じることが可能です。

脅威の評価：従業員に関する脅威プロファイルを作成することで、現在実施中の従業員のモニタリングやリスク評価の精度が上がります。そして、インサイダー脅威が現実化する前に、これを発見できるようになることが期待できます。

セキュリティ意識向上キャンペーンの実施：インサイダー脅威に関する意識向上キャンペーンを実施することは、インサイダーの増殖に対抗する上で重要です。セキュリティトレーニングにインサイダー脅威に関する意識向上キャンペーンを取り入れることで、悪意あるインサイダーを見つけ出したり、インサイダーから自組織を守ったりする風潮を育むことができます。

データ損失の防止：データ損失防止（Data Loss Prevention / DLP）ツールは、秘密データを、損失、窃取、および不正利用から保護するために設計されています。組織が利用できる基本的なDLPツールとしては、エンドポイント型のもの、ネットワーク型のもの、そしてストレージレベルのもの、の3つがあります。ネットワーク型のDLPは、Eメールやファイル転送など、すべてのネットワーク通信をモニタリングし、疑わしい動きがあればアラートを発します。エンドポイント型のDLPツールは、ノートPCなどのエンドユーザーデバイスをモニタリングし、データを不正利用から守ります。ストレージ型のDLPツールは保存データをモニタリングするもので、オンプレミスでもクラウドベースのストレージアーキテクチャでも使用できます。

インサイダー脅威になり得る人物との対話：インサイダー脅威になり得るような兆候を示している従業員との対話を試みることで、組織は、問題点を修正したり、こういった従業員が自組織に害を及ぼすのを防いだりすることができます。

挙動のモニタリング：ユーザーの挙動をモニタリングすることは、発生し得るインサイダー脅威から組織を守る上で絶対に不可欠な対策です。なぜなら、そうすることで、IT・情報セキュリティの担当者は活動の基準値を設けることができ、企業内で生じる異常な活動を検知できるようになるからです。

2023年のインサイダー脅威の概況

恐喝グループは2023年にも、自らのサイバー攻撃を援助してもらうべくインサイダーの募集・採用を続けるだろうと、Flashpointのアナリストは評価しています。人的エラーは組織にとって重大なセキュリティ脅威であり、従業員が脅威アクターらの標的になることは多々あります。なぜなら、従業員というのは組織のセキュリティ体制において最大の弱点になり得るからです。

フィッシングなどのソーシャルエンジニアリング攻撃は、脅威アクターらがインサイダーの認証情報や秘密情報を入手するための手法としてよく用いられます。しかし、LAPSUS$や「LockBit」などの恐喝グループは、金銭的な利益を得るために自組織のセキュリティを侵害してくれるような従業員らを雇っています。こういったグループは、自身に代わってインサイダーが初期アクセスを提供してくれること、そして企業環境で偵察を行なってくれることによる恩恵を受けているのです。また、従業員も金銭的な利益を得て、「そうとは知らずにアクセスを提供してしまった」というような主張をするかもしれません。

恐喝グループは、人員採用の意向を、自らのTelegramチャンネルやリークサイト、ディープ・アンド・ダークウェブ（DDW）フォーラム、およびその他のメディア上で頻繁に発信します。こういった求人広告の存在により、共犯者として働く意思を持つ従業員が恐喝グループに接触することが可能になっています。

Flashpointはさらに、インサイダーや脅威アクターが互いを認識し、協力し始めるための最も重要なメディアの座にTelegramがとどまり続けることはほぼ間違いないだろう、とも評価しています。弊社のアナリストは、さらなる情報提供のため、2023年もインサイダー脅威関連のチャンネルのモニタリング、特定、およびチャンネルへの忍び込みを続けていきます。

Flashpointでインサイダー脅威のモニタリングと脅威からの保護を

Flashpointの一連の実用的なインテリジェンス・ソリューション一式により、企業は、人、場所、資産を危険にさらすサイバーリスクと物理的リスクをプロアクティブに特定し、軽減することができます。優れた脅威インテリジェンスのパワーを引き出すために、まずはFlashpointの無料トライアルをお試しください。

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

詳しくは以下のフォームからお問い合わせください。