犯罪をビジネス化するアンダーグラウンドサービス
こんにちは。BIPROGYの片山です。
セキュリティに関する事件・事故が毎日のようにニュースになっていますね。
IT技術の進歩により、世界のビジネスやサプライチェーンは飛躍的に拡大しましたが、その裏でサイバー攻撃という犯罪は、より悪質で狡猾さを増しています。
みなさんは、サイバー空間における犯罪が、洗練されたビジネスとして成長を遂げており、私たちが無視できない脅威になりつつあることはご存じでしょうか?
本コラムでは、最近その脅威を増している「犯罪のビジネス化」(アンダーグラウンドサービス)について、読者のみなさんと一緒に考えてみたいと思います。
「犯罪のビジネス化」とは
独立行政法人情報処理推進機構(IPA)より、「情報セキュリティ10大脅威2023」が発表されました。
今年度から新たに「組織部門」の10位にランクインしたのが、今回のテーマである「犯罪のビジネス化(アンダーグラウンドサービス)」です。
犯罪を「ビジネスにする」というのは、一般的なビジネスと同様、「お金を得る」ことを目的に「顧客を獲得し、業務効率を上げ、事業・収益の拡大や安定化のために戦略を実行する」ということです。
もともとサイバー攻撃は、一部の技術者のいたずらに始まり、金銭の窃取など不正な目的のために攻撃を行う「ブラックハッカー」と呼ばれる人々が登場しました。
犯罪のビジネス化により、この「ブラックハッカー」を利用してサイバー攻撃を仕掛ける「攻撃の首謀者」が現れたことで、「サービス提供者」と「サービスの利用者」の分業に変化しました。この変化が、犯罪者にとってどのようなメリットをもたらしたか、社会にとってどのような脅威を生み出したか、具体的なサービスを2つ挙げながら、ご説明します。
RaaS(ランサムウェア・アズ・ア・サービス)
これまでの犯罪者(ランサムウェア・ギャング)は、自らランサムウェアを開発し、それを使って攻撃(侵入~暗号化~脅迫)を行い、身代金を受け取っていました。
しかし、RaaSでは、SaaSのあり方と同様に、ランサムウェアを使って攻撃する部分を有償のサービスとして提供し、得られた身代金の一部を受け取ることで収益を得るというビジネスが確立されました。
有益なSaaSというサービスの考え方をランサムウェア攻撃という犯罪に悪用したのです。
ランサムウェアを使って身代金を得るためには、以下のようなプロセスが必要です。
犯罪者にとって、これらのプロセス全てを一貫してやり遂げるのはハードルが高く、かなりの体力を必要とします。
そこから、「より簡単に犯罪を行いたい」というニーズが生まれ、そのニーズを実現するべく、犯罪の分業が進みました。
RaaSでは、攻撃の依頼を受け付けるポータルサイトが作られ、利用者は、利用料金(着手金)を支払い、攻撃先を指定できるようになっています。
すると、RaaS運営側が指定先に攻撃(侵入~身代金要求・回収)を仕掛け、成功して得た身代金をRaaS利用者(70%~80%)と分配します。
これにより運営側は攻撃の結果に関わらず、安定的に収益を得ることができ、利用者側は、ハッキングの技術がなくても依頼をするだけで犯罪を実行できるようになりました。
AaaS(アクセス・アズ・ア・サービス)
テレワークを狙った攻撃で、侵入経路を確保する1つの手段として、「闇サイト・ダークウェブからの侵入済みアカウントの購入」というものがあります。
このアカウントを売る側の犯罪グループのことを、初期アクセスブローカー(IAB:Initial Access Broker)と呼びます。様々なハッキング手法を使い、既に確立した侵入情報を販売するサービスとして、AaaS(Access as a Service)が誕生しました。
ランサムウェア攻撃において、かなり手間と時間を要する「侵入」の部分を、AaaSを購入したり、IABが侵入情報と引き換えに、RaaSグループの身代金の一部を受け取るような活動をしているようです。
IABは、漏洩したアカウント情報や脆弱性などをきっかけに、様々な企業に既に侵入を完了していますが、それ以上の攻撃的な行動は何もせず、利用されるまで待機しています。
こうした侵入工作では、LOtL(Living Off the Land:環境寄生型、自給自足型攻撃)と呼ばれる手法が取られることが多くなります。
特殊なツール(マルウェア)を持ち込まず、環境上に既にあるツール(通常のOSコマンド群、PowerShellや、Python環境など)を使って、検出されにくくするということを行っています。
犯罪者側のリスクの低下
上記のサービスだけでなく、犯罪ビジネスを加速させている大きな要因があります。
それは、暗号資産の普及です。
もともと犯罪者にとって最大のリスクが発生するのは、身代金の受け取りでした。
IT技術の進歩により、インターネットさえあればお金の移動が国を越えて可能になったことは言うまでもなく、暗号資産の普及により銀行口座の入出金情報を追うことができなくなり、身代金の動きを追跡することが現実的に困難になっています。ダークウェブ・闇サイトの暗号資産取引所を使ったり、マネーロンダリング対策非協力国・地域(NCCTs)の後ろ盾があれば、身分を偽ることも可能なため、犯罪者にとっては、匿名性の確保が十分に可能なのです。
また、身代金としての入手手段を隠すため、複数の暗号資産口座(ウォレット)に、小分けにして送金・出金し、再分配を繰り返すことで、送金元と送金先のつながりを消す(ミキシング)といった手法を使うことで、身代金の現金化も可能となり、追跡もほぼ不可能となることが考えられます。
このように、かつては一部の技術者だけで行われていたランサムウェア攻撃は、利用料を支払えば専門知識や特別な技術がなくとも実行できる便利なサービスに変わりました。
参入障壁と個人特定のリスクが低下し、分業により業務効率が向上している犯罪ビジネスは成長を続けています。
私たちは、このような脅威に対抗し、セキュリティ対策を行っていく必要がありますね。
おわりに
犯罪のビジネス化(アンダーグラウンドサービス)について解説させていただきましたが、いかがでしたでしょうか?昨今のサイバー攻撃が、如何に狡猾に進められているのかを感じ取っていただけたと思います。重要なポイントとして、「常に、攻撃者側の方が上手で有利である」ということをご理解いただけたらと思います。
当社では、本コラムでお伝えしたサイバー攻撃の脅威に立ち向かう手段の1つとして、
みなさまのセキュリティ強化策検討を強力にご支援するサイバーセキュリティ アセスメントサービスをご提供しております。
ランサムウェア対策状況を含め、サイバー攻撃への対策状況を整理することが可能です。ご興味ございましたら、以下URLよりお気軽にご相談ください。
*記載の会社名および商品名は、各社の商標または登録商標です。