サイバー攻撃手法の変化──企業のシステムに侵入できるアクセス権が販売されている

2023年06月26日（月）16時42分

アクセス権という商品を作ったIAB事業者は、広告を出して買い手を募集する。産業化が進んだおかげでサイバー犯罪者向けの広告を出稿できる仕組みもできている。広告の内容を分析することで市場の動きを推測することができる。2021年から2022年にかけて企業へのアクセス権を販売するIABの広告出稿が1.12倍（前掲CrowdStrike社レポート）から2倍（Group-IBレポートより）に伸びており、IABへの新規参入した業者も増加している。その一方でアクセス権の価格は大幅に下がっている。

結果として他のサイバー犯罪者たちは以前よりも安価により多くの企業への侵入を仕入れることができるようになった。品揃えが増え、価格が下がったなら、利用しない手はないので利用も増加している。

IAB成長の意味するもの

アクセス権が販売され、購入したサイバー犯罪者がそれを利用して企業に侵入するということは、「ひとつのサイバー犯罪組織から攻撃受ける」こととは別のリスクをはらんでいる。IABがアクセス権を商品化したということは、下記の可能性があることを意味している。

・過去にInfostealerに侵入されたことがあり、それを感知していなかった。知らない間に起きた情報漏洩の規模がわかっていない。現時点で把握できたサイバー攻撃以外にも検知できなかったものが多数ある可能性がある。たとえば中国由来のDaxinと呼ばれるバックドアを作るマルウェアは侵入後10年以上発見されなかった。DaxinはIABが利用しているものではないが、これまでは国家支援のハッカーなどが行ってきたことがマーケットで安価にされるようになって脅威度があがっている。

・IABはアクセス権を複数の相手に販売することもあるので、複数のサイバー犯罪組織がアクセス権を持っている可能性があり、前項と同じく把握していない被害がある可能性と、今後も引き続き、他のサイバー攻撃が続く可能性があることを意味している。

従来に比べてひとつのサイバー犯罪が見つかった時に、「見えていない被害」と「近い将来起こる被害」がいくつも存在している可能性が増加した。調査、確認、対処には従来以上に手間と時間がかかる。

さらにやっかいなのはサイバー犯罪グループの背後には国家の関与が少なからずあることだ。前回の記事に書いたように中国は脆弱性情報を多く保有しており、その一部がサイバー犯罪者に流れる可能性はないわけではないし、そもそも中国当局はサイバー犯罪者であっても有能な人材は活用している。ロシア当局はサイバー犯罪者に必要に応じて協力を要請する。サイバー犯罪と国家支援のサイバー攻撃の境界は曖昧だ。

とはいえ現在市場で広告を出稿するなど活発に動いているIAB業者と中国の関係は確認されておらず、むしろ中国国内から漏洩した情報の販売の増加など中国当局の意向に反する方向に市場は動いているようだ。

「見えていない被害」と「近い将来起こる被害」は、従来の国家関与のグループに加えてIABの拡大によるもののふたつが独立した形で絡み合って広がっていることになる。
日本はサイバー空間における脅威インテリジェンスに課題を抱えているが、その必要性は急速に増加している。