-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ランサムウェア攻撃などのサイバー攻撃を実行する脅威アクターは、官民両部門の組織に甚大な損害をもたらす力を備えています。こういったサイバー攻撃は組織の評判と資産だけでなく、ステークホルダーや顧客も危険にさらします。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。
目次
[開く][閉じる]脅威アクターの主な狙いは「金銭の獲得」
ランサムウェア攻撃などのサイバー攻撃を実行する脅威アクターは、官民両部門の組織に甚大な被害をもたらす力を備えています。こういったサイバー攻撃は被害組織の評判と資産だけでなく、ステークホルダーや顧客も危険にさらします。以下に挙げる2つの主要な年次調査により、ランサムウェアインシデントで生じる損害の全容が明らかにされました。
- ベライゾンの『2024年度データ漏洩/侵害調査報告書(DBIR)』によると、昨年は約4,000件のデータ侵害が発生し、そのうち86%が金銭の獲得を目的にしていました。
- IBMとPonemon Instituteによる『2021年データ侵害のコストに関する調査レポート』では、脅威アクターの攻撃1件につき企業に平均424万ドルの損害をもたらすことが明らかになりました。この調査の対象となったデータ侵害は500件を超え、その数は17年間に及ぶ同レポートの歴史において過去最多となっています。
脅威アクターについて知っておくべきこと
サイバー脅威アクターの行動パターンは常に変化しており、攻撃のターゲットや手法、そして動機(通常は金銭的な利益を得ることでも、常にそうとは限らない)でさえも刻々と進化しています。
政府や法執行機関、そして各企業でセキュリティおよび不正行為対策に携わるチームは、有意義なサイバー脅威ハンティングをプロアクティブに実施し、権限を持たない者にデータを侵害され得る攻撃を防ぐために役立つ、いわば完成された実用的なインテリジェンスのような武器を身につけておかなければなりません。
そのためには、脅威アクターランドスケープの理解を深めることが出発点となります。これを踏まえ、本記事では以下について取り上げていきます。
- 脅威アクターの定義:脅威アクターとサイバー脅威アクターの共通点などにも触れます。
- 一般的な脅威アクターが持つ動機を説明:金銭面とイデオロギー面から解説します。
- 不法コミュニティについて詳しく説明:脅威アクターは通常どこで活動しているのかを詳しく見ていきます。
- 攻撃で使われる一般的な攻撃手法を概説:フィッシング、マルウェア、ランサムウェアをはじめとする多様な攻撃手法と、それぞれの意図(常に危害を加える意図があるとは限らない)についてなどを取り上げます。
サイバー脅威アクターとは?
サイバー脅威アクター(脅威アクター)とは、情報システムやネットワーク、ドメイン、デバイスなどの侵入可能な経路を通じて技術的な脆弱性を特定し、それを攻撃する個人の集まりを指します。サイバー脅威アクターはその後、盗んだデータを利用してさまざまな目的を果たすのですが、この目的で最も多いのは「金銭的利益の獲得」です。
サイバー脅威アクターは自らの目標を達成すべく、さまざまな手口を使います。例えばランサムウェア攻撃やフィッシング詐欺、クレデンシャルスタッフィング攻撃、DDoS攻撃などが挙げられますが、これらについては後の項目で説明します。
脅威アクターが複数集まったグループの場合、英語の記事やレポートなどでは「collective(集団、共同体、集合体などの意)」と表現されるのが一般的です。
脅威アクターとサイバー脅威アクター
「脅威アクター」とは、特定の目的のために不法(多くの場合「違法」)行為を行う個人またはその集まりを包括的に指す用語です。
脅威アクターは通常、攻撃で使う手法によって2種類に分類されます。一方は物理的な攻撃(物理セキュリティに対する攻撃など)を行うアクターで、もう一方はサイバー攻撃(サイバーセキュリティを損なう行動など)を行うアクターです。特筆すべきことに、暴力的非国家主体(VNSA)など物理的な危害を加えようとする脅威アクターでも、Telegramのようなメッセージングアプリを用いてデジタルでやり取りを行うことがあるため、これらのアクターの手法にもサイバー要素がある程度存在しています。
サイバー脅威アクターの活動領域
脅威アクターは自身の目的に応じて、複数の不法コミュニティで活動しています。
不法コミュニティの一例として挙げられるのは、サイバー犯罪の初期形態の1つであるクレジットカード詐欺に特化した複数の主要フォーラムです。これにはカーディング(ネットおよび店舗に保管されたカード情報の窃取から、その情報の収益化まで)について議論しているフォーラムが含まれるほか、侵害されたカードの認証情報の販売を円滑にするサイバー犯罪ショップも多く見受けられます。
サイバー脅威をもたらす活動には「ディープウェブ」と「ダークウェブ」が関与する一方、チャットアプリは不正行為関連の情報源としてよく利用されています。TelegramやDiscord、4chanのような掲示板のほか、多くのユーザーを抱える各種ソーシャルメディアプラットフォームは、すべてサイバー脅威アクターに使われています。
脅威アクターたちは、こういったプラットフォーム内のすでに定評のあるフォーラムやコミュニティ上で活動を行います。このフォーラムやコミュニティはサイバー犯罪のカテゴリー別に細分化されており、それぞれが「マルウェア」「ソーシャルエンジニアリング」「アクセスの提供」などに特化されています。Flashpointでは従来のフォーラムでランサムウェアを扱うことが禁止されて以降、サイバー犯罪者たちがこのトピックに限定した新たなコミュニティを作っていることを確認しています。
脅威アクターの種類とそれぞれの動機
脅威アクターを特定し、個々の動機を解明することは必ずしも容易ではありません。複数の脅威アクターが単一のグループに参加したり、結束したりしても、それぞれの利害が一致しなければ結局分裂してしまう可能性があるためです。また脅威アクターないしグループは多様な動機を持ち得るという事実も、この状況をさらに複雑にしています。
例えばランサムウェアグループは金銭的に動機付けられ、標的組織を恐喝して身代金を奪うことがありますが、自らの政治的または社会的な立場に基づき、特定の国の組織を狙って攻撃することしかしません。また、ほとんどの脅威アクターは金銭的な動機を有している一方で、社会を混乱に陥れるためなどほかの目的に基づいて行動する場合もあります。
金銭的に動機付けられた脅威アクター
サイバー犯罪者の技術レベルに関係なく、攻撃を行う動機として最も多く挙げられるものの1つが「利益」です。金銭的動機に基づく脅威アクターの攻撃は場当たり的で、労せずして成果を得ることを考えます。こういった脅威アクターはターゲットから盗まれた資産を素早く売却することにしか興味がないため、自らの攻撃が特定される可能性については特に心配していません。
サイバー犯罪者
「サイバー犯罪者」は、ネット上で不法行為を行う個人を総称する用語です。
「サイバー犯罪者」は「脅威アクター」や「サイバー脅威アクター」を指す場合が多いのですが、オンライン活動を規制する法律が国によって異なるため、「サイバー犯罪者」の定義は明確に線引きされているわけではありません。
組織犯罪:ランサムウェア
ランサムウェア攻撃はサイバー攻撃の一種で、被害者のファイルを暗号化してアクセス不能にするものです。その後、復号キーと引き換えに身代金を要求します。
「ランサムウェアアクター」という呼称は最近、データ恐喝を行うグループとも結び付けられるようになりました。また企業や個人の文書内の機微情報を暗号化することに加えて(あるいは暗号化しない代わりに)それらを抜き取り、その情報の公開または売却をほのめかして標的を恐喝する行為もこれに関連付けられています。
ランサムウェアアクターはランサムウェア・アズ・ア・サービス(RaaS)モデルの下、個人あるいはこれに特化したグループで活動します。1つの攻撃において、脅威アクターたちはそれぞれがさまざまな役割(初期アクセスや暗号化など)を専門的に担当しています。被害者から支払われた身代金はすべて、グループのメンバー間で分配されます。
2021年5月に複数のフォーラムでランサムウェア関連の活動が禁止されて以来、オペレーターらはメンバー限定のフォーラム「RAMP」上で自身のサービスを宣伝するようになりました。またアナリストは、Jabberなどの暗号化されたメッセンジャーでも宣伝が行われていることを確認しています。
インサイダー脅威
インサイダー脅威(内部関係者によるサイバー脅威)は意図的に引き起こされる場合もあれば、そうでない場合もあります。記録されたデータ侵害全体のうち約30%は、この脅威によって引き起こされています。
インサイダーによる意図的脅威とは、個人的利益を目的に組織へ損害を与える行動や、個人的な不満に基づく行動を指します。インサイダーによる意図的脅威は多くの場合、「悪質な内部関係者」と同義でとらえられています。
しかし、すべてのインサイダー脅威が意図的なものとは限りません。能力不足や怠慢、あるいは不注意から内部関係者がサイバー脅威アクター化し、組織を危険にさらすこともあります。過失によってインサイダー脅威になる人は通常、セキュリティポリシーやITに関連するベストプラクティスを知っているにもかかわらず、それらをあえて無視して組織にリスクをもたらします。
自身の利便性だけを考えた行動や、能力が不足しているといった理由から、意図的にセキュリティコントロールを回避しようとするのです。このようにしてセキュリティポリシーに反し、保護されないままとなった脆弱なデータやリソースは、攻撃者に難なくアクセスを許すことになります。組織は従業員のミスを軽減するために先手を取って行動し、インサイダー脅威から身を守るためのベストプラクティスに従う必要があります。
カーダー
カーダーとはクレジットカードを盗み、その情報を使った不正行為(カーディング)を行う者のことを指します。通常、カーディングはほかのサイバー犯罪活動ほど技術的な知識を必要とせず、多くのサイバー犯罪者がステップアップのために利用する手段だと認識されています。
詐欺師
詐欺師は大抵さまざまなタイプの詐欺に関与しており、個人を特定できる情報やペイメントカードの詳細を盗むための戦術を使い分けている場合があります。このほかにも合成ID詐欺を行って他人の信用枠を確保する事例があるほか、最近ではCARES法に基づく米中小企業庁(SBA)の給与保護プログラム(PPP)を狙った新型コロナウイルス関連の詐欺が確認されています。
イデオロギーに動機付けられた脅威アクター
FUD: 恐怖、不安、疑念
FUDに動機付けられた脅威アクターは特定の政治的イデオロギーに基づいて行動し、標的を絞った上で虚偽または誤解を招くような情報を流布します。また、法執行機関やほかの攻撃者を混乱させるため、自らの能力と目標に関する一般市民の認識に影響を与えようとします。
その一例として、ランサムウェアグループがメディアへのアピール目的でライバルグループに米国への攻撃を呼びかけたり、脅威アクターが選挙干渉に見せかけて公開済みの有権者情報を不法フォーラムで共有したりすることもあります。
高度持続的脅威グループ(APT)
高度持続的脅威(APT)グループとは通常、国家支援型の脅威アクターまたはその集団を指します。ある国家の支援を直接(例:諜報機関のユニット)または間接的(例:架空会社や同様の組織を通じて国家が支援するシンジケートなど)に受けており、特定の目標を達成するために大規模団体を高度な方法で継続的に攻撃します。
APTは大抵、政治的または経済的な動機に基づいて行動します。初期攻撃ベクターとしてスピアフィッシングやソーシャルエンジニアリングを使うことが多く、業務の妨害あるいは資金を盗むなどして標的に被害を与えるほか、ほとんどのAPTがスパイ能力も備えています。主なターゲットは、国家機関や重要インフラ、重要資産を有する大企業など。ほとんどのAPTが番号で識別されていますが、さまざまな研究者やベンダーが名付けた通称で呼ばれることもあります。
近年の主なインシデントとして、SolarWindsのサイバー攻撃(サプライチェーン攻撃でもある)や、ランサムウェアを使った北朝鮮主導の暗号資産詐欺スキームなどがあります。
ハクティビスト、ハクティビズム
ハクティビストとは社会的または政治的な動機に基づいて活動する脅威アクターやその集団を指し、中央集権型の組織構造を持たない「Anonymous」のようなグループもこれに該当します。単独でも甚大な被害を及ぼす攻撃能力を有し、脅威レベルは中程度と評価されています。ほとんどのハクティビストグループは重要なインフラに損害を与えることよりもプロパガンダを利用し、自らが重要と考える問題や大義に世間の意識を向けさせようとします。
ハクティビストの目標は、自分たちの政治的または社会的なアジェンダ(検討課題)をサポートすること。社会的・政治的変化を促す大義名分を得るためにプロパガンダを展開することや、風評被害(例:BlueLeaksのハッキングやEpikのリークなど)を引き起こすことは二次的な目標です。
インサイダー脅威
インサイダーによる意図的脅威とは、個人的利益を目的として組織に損害を与える行動や、個人的な不満に基づく行動を指します。インサイダーの意図的脅威は「悪質な内部関係者」または「悪意のあるアクター」と同義でとらえられることが多く、個人の利益または組織に損害を与えることを動機としています。
しかし、すべてのインサイダー脅威に悪意があるわけではなく、能力不足や怠慢、あるいは不注意から内部関係者がサイバー脅威アクター化し、組織を危険にさらすこともあります。過失によってインサイダー脅威になる人は通常、セキュリティポリシーやITに関連するベストプラクティスを知っているにもかかわらず、それらをあえて無視して組織にリスクをもたらします。自身の利便性だけを考えた行動や、能力が不足しているといった理由から、意図的にセキュリティコントロールを回避しようとするのです。このようにしてセキュリティポリシーに反し、保護されないままとなった脆弱なデータやリソースは、攻撃者に難なくアクセスを許すことになります。
だからこそ、組織は従業員のミスを軽減するために先手を取って行動し、インサイダー脅威から身を守るためのベストプラクティスに従う必要があります。
スクリプトキディ(スキディ)
「スクリプトキディ」は「スキディ」とも呼ばれ、経験が浅い脅威アクター、つまり不正なオンラインコミュニティへの新規参入者を意味し、一般的には参入障壁が低い分野のサイバー犯罪に関与する脅威アクターを指します。 この用語は侮蔑的な意味で使われており、例えばプログラミング言語の仕組みを理解していなくても、他人が書いたスクリプトをダウンロードして使えるアクターを「スクリプトキディ」と称します。
具体的な例を挙げると、クレデンシャルスタッフィングに使える公開ツールの多くはペンテストやプログラミングに関する実用的な知識をまったく必要としないため、スクリプトキディはこの分野で活動する傾向があります。
サイバー脅威アクターの戦術・技術・手順(TTP)
DDoS攻撃
DDoS(分散型サービス拒否)攻撃とは、標的のサーバーやサービス、ネットワークに大量のインターネットトラフィックを集中させることで、正常なトラフィックを妨害しようとする悪質な行為です。複数の侵害されたコンピューターシステムを攻撃トラフィックのソースとして利用すると、DDoS攻撃の効果は最大限に発揮されます。被害者がDDoS攻撃の対応で混乱し、その隙にデータを盗み出せるようにする目的で頻繁に利用されています。
マルウェア
コンピューターやその他のネットワークリソースに損害を与えるため、特別に設計されたソフトウェアをマルウェアと言います。トロイの木馬やワーム、スティーラー、ルートキット、クリプトジャッキング、キーロガー、ランサムウェアなど攻撃方法によってさまざまな種類があり、これらを使うことで特定のネットワークリソースへのアクセスとデータを盗むことが可能になります。
ランサムウェア
ランサムウェアはマルウェアの一種で、脅威アクターはこれを用いて被害者のデータを暗号化して使用不能にし、その解除と引き換えに身代金を要求します。
被害者に身代金の支払いを迫るため、感染したサーバーから盗まれたデータを公開する、あるいは公開すると脅す手口を恐喝型ランサムウェア攻撃と言います。このタイプのランサムウェアによる脅威は、データをバックアップしても軽減されることになりません。
クラウド
クラウドリソースの一般的な脆弱性や設定ミスは多くの場合、これらが公表される前、あるいは公表された直後に悪用されます。脅威アクターは侵入に成功した後、データを抜き取って不法マーケットプレイスで転売する、あるいはクラウド環境を横方向に移動するなど新たな展開ができるようになります。
サードパーティ
脅威アクターは下流の顧客に感染を拡大させるため、サードパーティのソフトウェアやテクノロジーソリューションプロバイダーを標的にします。マネージドサービスプロバイダーやクラウドサービスプロバイダー、その他のITサービスプロバイダーは企業環境を構成する要素であり、組織のデータを取り扱う機会を有している可能性があります。
ソーシャルエンジニアリング
特定のネットワークやリソースへの最初の侵入口として、ソーシャルエンジニアリングの手法は脅威アクターの間で頻繁に活用されています。この種の攻撃では、あらゆるサイバー環境における人間的要素が利用されます。フィッシングはソーシャルエンジニアリングの代表的な形態で、信頼できる発信者に見せかけたソースから通信(フィッシングメールの送信など)を行い、人間的要素を操作してサイバー環境へのアクセスを獲得します。
ブルートフォース攻撃とクレデンシャルスタッフィング攻撃
ブルートフォース攻撃(総当たり攻撃)とは、パスワードのようなデータの想定されるすべての組み合わせをプログラムによって推測する手法です。
一方、クレデンシャルスタッフィング攻撃は事前に入手したパスワードのリストを使い、被害者のアカウントへのアクセスを獲得しようとします。この2つの攻撃は密接に関連しており、脅威アクターの間では一般的に「ブルートフォーシング」または「ブルート」と呼ばれています。
一例として、ストリーミングアカウントへのアクセスを獲得したい脅威アクターがいるとします。このアクターは、侵害された出会い系サイトから流出したユーザー名/パスワードハッシュのリストを購入します。そしてこのパスワードハッシュを「クラック」するために、すべてのパターンを「ブルートフォーシング」(総当たり)で試すのです。つまり、これらのハッシュが平文ではどのようなパスワードになるのかを特定するために、考えられる文字の組み合わせをすべて推測してハッシュ化します。
クレデンシャルスタッフィング攻撃の場合、脅威アクターは出会い系サイトから入手したユーザー名/パスワード(今度は平文)のリストを基に、その認証情報をほかのサービスにも使い回すユーザーがいることを期待しつつ、ストリーミングサイトで同じユーザー名とパスワードの組み合わせをすべて試します。
この種の攻撃には多くのバリエーションがあります。例えば「リバースブルートフォース攻撃」は、大量のユーザー名に対して特定のパスワードを試す手法です。また「ブルートフォーシングツール」を使い、特定のユーザー名/パスワードの組み合わせを複数のサイトで同時にテストする攻撃もあります。いずれにせよこれらの攻撃は、最終的に被害者のアカウントへ不正にアクセスすることを目的としています。
Flashpointでランサムウェアやサイバー恐喝に備えよう
Flashpointのプラットフォームを活用し、お客様の業界に狙いを定める脅威グループのIoCを追跡しましょう。デモまたは90日間の無料トライアルをお申し込みいただき、ランサムウェアアクターとその戦術・技術・手順(TTP)に関する重要な情報や知見を得るために、Flashpointのサイバーセキュリティテクノロジーがどう役立つのかを実感してください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。
