画像: djedzura/iStock
ランサムウェア攻撃は過去2年間で深刻に増加し、企業のあらゆる業種を標的にしています。多くの企業に侵入できるため、これらのサイバー犯罪者は非常に熟練していると思われるかもしれません。しかし、実際にはそれほど熟練しておらず、多くのサイバー犯罪者グループが他のサイバー犯罪者から企業へのアクセスを購入しているだけだとしたらどうでしょうか? 初期アクセス・ブローカーの世界へようこそ。
初期アクセスブローカーとは何ですか?
初期アクセスブローカー(IAB)は、企業ネットワークへのアクセスを、それを購入したい人なら誰にでも販売します。当初、IABは様々な目的を持つサイバー犯罪者に企業アクセスを販売していました。企業内に足掛かりを築き、知的財産や企業秘密を盗む(サイバースパイ活動)、財務詐欺を可能にする会計データやクレジットカード番号の入手、企業のマシンをボットネットに追加すること、アクセスを利用してスパムを送信すること、データを破壊することなどです。企業へのアクセスを購入することが詐欺師にとって興味深いケースは数多くありますが、それはランサムウェアが登場する前の話です。
参照:サイバーセキュリティ戦略2021:戦術、課題、サプライチェーンの懸念(TechRepublic Premium)
ランサムウェア事件の大規模なメディア化を目の当たりにした一部のサイバー犯罪者は、この方法で簡単に金儲けしようと試みるようになりました。しかし、企業に侵入し、そのネットワークに足掛かりを築くには技術的なスキルが必要となるため、容易ではありません。ここでIABが活躍の場となります。
ランサムウェアグループは、企業への初期侵入に費やす時間を一転、ランサムウェアを社内に展開すること、そして場合によっては企業のバックアップデータを完全に消去することに注力する好機だと捉えました。アクセスにかかるコストは、被害者に要求される身代金と比べれば取るに足らないものです。
IAB の活動は、サイバー犯罪者の地下フォーラムやマーケットプレイスでますます人気が高まりました (図 A )。
図A
これらのマーケットプレイスでアクセスを販売するために、ブローカーは常に同じ種類の情報(企業が属する業界、従業員数、収益、アクセスの種類とその価格)を使用して宣伝します(図 B)。
図B
企業ネットワークへのアクセス料金は、おおよそ1,000ドルから10,000ドルの範囲です。IABは通常、アクセスを特定の顧客にのみ提供しますが、評判の低いブローカーが複数の顧客に同時に同じアクセスを販売し、その後姿を消すことも珍しくありません。
IAB はどのようなアクセスを販売していますか?
Active Directory の資格情報
IABが販売できる最も価値の高いアクセスは、企業のActive Directoryにアクセスできるドメイン管理者アクセスです。このようなアクセスがあれば、ランサムウェアグループはすぐにネットワーク全体にマルウェアを拡散できるため、作業量を大幅に削減できます。
パネルアクセス
IABは、インターネットからアクセスできる様々なコントロールパネルへのアクセスを販売することがあります。これらのパネルは通常、ウェブホスティングコンテンツへのアクセスを提供しており、決済ソリューションやクレジットカード情報も含まれることが多いです。最も人気のあるパネルはcPanelです。
Webシェルアクセス
Webシェルは、Webサーバーのアーキテクチャ上にひっそりと潜む小さなソフトウェアです。通常はフォルダ内に隠されており、Webサーバーに侵入してWebシェルを設置した攻撃者だけがアクセス方法を知ることができます。さらに、一部のWebシェルは、攻撃者が設定したパスワードでアクセスを保護できます。一部のIABは、侵入したWebサーバー上にWebシェルを設置し、そのアクセスを販売しています。
RDPアクセス
アンダーグラウンドフォーラムで最も多く販売されているアクセスは、リモートデスクトッププロトコル(RDP)アクセスです。このプロトコルは企業で非常に人気があり、特にリモートワーカーはこれを使って企業リソースにアクセスできます。必要なのはログイン名とパスワードだけで、攻撃者がインターネット上のRDPサーバーを大規模にスキャンし、総当たり攻撃を仕掛けるのは非常に簡単です。
VPNアクセス
ますます多くの企業が、リモートワーカーが企業ネットワークに接続して効率的に業務を行えるよう、仮想プライベートネットワーク(VPN)を導入しています。RDPと同様に、二要素認証がない場合、企業ネットワークへのアクセスにはログインIDとパスワードのみが必要です。
仮想マシンのアクセス
IABは、VMware ESXiサーバーへのルートアクセスをランサムウェア集団に販売するケースが増えています。例えば、DarkSideランサムウェアには、これらのシステムを特に標的とするコードが含まれています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
RMMアクセス
リモート監視・管理は、ITプロフェッショナルがネットワーク管理を行うために設計されたソフトウェアです。ネットワーク上の複数のマシンへの高度な権限を付与するため、IABにとって魅力的なデータ販売手段となります。
IAB からビジネスを保護するにはどうすればよいでしょうか?
企業は、初期アクセス・ブローカーによるリスクにさらされている資産をどのように保護できるでしょうか?リスクを軽減するために、以下の推奨事項に従ってください。
VPN/RDP/RMM/コントロールパネルへのアクセス
- 2FAをサポートするRDPおよびVPNゲートウェイのみを使用してください。また、2FAを許可するコントロールパネルのみを使用してください。これらのコントロールパネルもハッキングは可能ですが、アクセスごとに手作業が必要となるため、アクセスを販売するのは困難です。企業へのアクセスを狙うサイバー犯罪者は、このようなソリューションを利用することはなく、別のソリューションを探そうとするでしょう。
- RDP アクセスのネットワーク レベル認証を有効にします。
- 簡単なパスワードの総当たり攻撃を避けるために、強力なパスワード管理ポリシーを設けてください。
- 可能であれば、特権アカウントによるリモート接続を許可しないでください。
- ログイン試行に 3 回または 5 回以上失敗したユーザーを自動的にロックアウトし、調査します。
- 一部のパネルにはセキュリティプラグインが含まれています。常に有効化して使用してください。
ウェブシェル
ウェブサーバーのウェブコンテンツを監視してください。ゲストやユーザーがアクセスすべきでないフォルダに新しいファイルが追加されていないか確認してください。また、攻撃者がウェブシェルでファイルを置き換えた場合、更新とは関係のないハッシュ値の変更がないか確認してください。
地下フォーラムを監視する
ダークウェブ、特に複数のサイバー犯罪フォーラムやマーケットプレイスの監視サービスを提供する企業もあります。これらのサービスに登録すれば、サイバー犯罪者、特にIAB(インターネット広告主)が自社の情報を言及した際にアラートを受け取ることができます。こうすることで、万が一ネットワークが既に侵害されていたとしても、脅威に迅速に対応することで影響を最小限に抑えられる可能性があります。
一般的なセキュリティのベストプラクティスを忘れないでください
- システムとソフトウェアを常に最新の状態に保ち、できるだけ早くパッチを適用してください。これにより、新たな脆弱性による初期の侵害を防ぐことができます。
- ネットワークとコンピューターの完全なセキュリティ監査を実行し、変更または更新が必要なものをすべて修正します。
- 侵入防止システム/侵入検知システム (IPS/IDS) を使用します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
