近年、アンダーグラウンドのサイバー犯罪社会はますます巧妙化し、組織の脆弱さに付けこんで利益を上げています。その結果、組織のセキュリティ部門のトップは台頭する脅威から組織を保護し、リスクを正確に評価するために、アンダーグラウンドに広がる違法なコミュニティで何が起こっているのかを把握しなければならない状況に置かれています。
本稿では、「アンダーグラウンドのサイバー犯罪社会」という言葉の定義、アクターとその活動動機、手法について現状を解説します。また、セキュリティ部門のトップが自組織を台頭する脅威から守るための推奨策についても詳述します。
●「アンダーグラウンドのサイバー犯罪社会」の定義
「アンダーグラウンドのサイバー犯罪社会」とは、脅威アクターが不正に入手したアイテムを販売したり、犯罪を支援するサービスや商品を購入するために集い、やり取りしているオンライン上のサイトや手法、プラットフォーム、ツールを指す用語です。
脅威アクターが「違法なビジネス」を行う場のわかりやすい例としては、オンラインフォーラムやオンラインマーケットが挙げられます。オンラインフォーラムは、脅威グループやその仲間、そして彼らの潜在顧客が戦術や技術、手順について話し合う実質的な場として機能しているほか、サイバー犯罪者がメンバーを採用したり、違法取引を行う場としての役割も果たしています。
オンラインマーケットでは、WebメールやSlackのログイン資格情報(窃取されたもの)から違法薬物にいたるまであらゆる商品が売買されており、またそれら商品の売買に必要なサポートも提供されています。サポートの具体例としては、商品を宣伝する広告スペースや、商品の説明、カタログ、ショッピングカート機能などが挙げられます。また、最近当局に押収された「Genesis」や「2easy」をはじめ、自動売買マーケットではマウスを数クリックするだけで、他者から窃取した情報や不正なサービスを購入できる仕組みになっています。そしてこのようなマーケットで販売されている情報には、皆さんの組織から窃取したデータも含まれている可能性があるのです。
Telegramや類似のメッセージアプリも、サイバー犯罪者の間で人気を集めています。人気の理由は、アプリに搭載されたエンドツーエンドの暗号化機能やシークレットチャット機能であり、サイバー犯罪者はそれら機能のおかげで秘密裏に活動し、法執行機関による摘発を逃れています。また、彼らが新しいメンバーを採用したり、窃取したデータやマルウエア、ハッキングツールを売買・配信するプラットフォームとしても使用されています。
●「ダークウェブ」という用語が適さなくなった理由
違法なマーケットプレイスや自動売買マーケットが出現する以前は、サイバー犯罪者が匿名性を確保したブラウザ(特にTorなど)を介してやり取りする状況を指す用語として、「ダークウェブ」が使用されていました。しかし今日では匿名性を確保したブラウザは、ニュースを読んだり、ソーシャルメディアをチェックするといった無害な活動にも使用されており、もはやTorを使用していることが違法行為を示唆する状況ではなくなっています。むしろ、「インターネットでサイトを閲覧する際に匿名性を確保したい」という意識が、実直かつ勤勉な人々の間でも高まっている現状を反映していると言えるでしょう。
また、インターネット上での違法な商業活動が成熟するにつれ、「ダークウェブ」は使い古された不適切な表現となり、「アンダーグラウンドのサイバー犯罪社会」の方がより正確かつ描写的な用語となりました。そしていまや、アンダーグラウンドのサイバー犯罪社会とは、違法なサービスや商品を利用したり、違法行為を実行する際に使用される仲介の場という意味に限定されず、オンライン上のあらゆる犯罪行為の性質を反映した用語となっています。
長年にわたり、「ダークウェブ」という用語は、誤解を招くような不正確な統計値を含む誇大表現にも使用されてきました(例えば「ダークウェブには何十万ものサイトが存在する」といった、読者を怖がらせるような表現など)。これまでアンダーグラウンドのサイバー犯罪社会を説明する際に使用されてきた「ダークウェブ」という言葉は、雇われた暗殺者が潜む、暗くて恐ろしい場所であるかのように描写されてきました。しかし実際には、経済を中心に動くマーケットと似ており、こちらも需要と供給というルールに支配されています。
これまでハッカーと言えば、「フード付きの黒いパーカーを着て、PCの前に猫背で座っている人物」という固定概念的なイメージがありました。しかし、現在アンダーグラウンドに広がるサイバー犯罪社会は、この固定概念を大きく覆しています。
以前、ランサムウエアグループ「Conti」がメンバー内で交わしていたやり取りが流出するというインシデントがありましたが、その内容から、同グループが高度に組織化されていることが判明しました。Contiは、ハッカーやコーダー、テスター、リバースエンジニアリングのスペシャリスト、クリプター、OSINTスペシャリスト、交渉担当者、ITサポート、人事担当者などのメンバーで構成されていたのです。
また彼らは、被害組織から窃取したデータも販売していましたが、その販売活動で顧客からの支持を得るために、一般社会の企業が使用する類のマーケティングワークフローを採用していました。さらに、複雑なサプライチェーンを使いこなして、商品やサービスをエコシステム内に流通させていました。その他、サービスチケットシステムを導入し、彼らの「商品」を購入する人物に質の高い顧客体験を提供しようと努めていたことも明らかになっています。
●新たに脅威が台頭する一方で、防御者が持つ強み
組織を防御するセキュリティ担当チームが、脅威アクターと果てしないいたちごっこを繰り広げる中で、サイバー犯罪者は常に自らの戦略を進化させています。オンラインの世界から現実社会を脅かす攻撃者は、標的とするシステムに侵入するために新たな方法や技術の開発に取り組んでおり、組織がサイバー脅威インテリジェンスを通じて最新の脅威情報を入手することの重要性が高まっています。
アンダーグラウンドのサイバー犯罪社会は、脅威アクターが集い、購買活動やビジネスを行う場となっています。そしてこの事実は、セキュリティ担当者にとっての強みにもなるのです。サイバー犯罪者がどのように活動しているのかを理解することで、彼らの活動を監視して分析し、起こりうる攻撃を未然に阻止することにつながるのです。
アンダーグラウンドにおけるサイバー犯罪社会の仕組みを理解することで、組織のネットワーク防御者は、攻撃者と同じ視点で自組織とその防御体制を観察し、自組織のリスクをより正確に評価することが可能になります。
●アンダーグラウンドに広がるサイバー犯罪社会の監視にむけた実践的なステップ
まず組織として、アンダーグラウンドのサイバー犯罪社会を理解し、過去の侵害インシデントから学び、アタックサーフェス(攻撃対象領域)を特定する必要があります。また自組織の職員や従業員に、サイバー脅威についての研修を行うことも必須です。サイバーセキュリティのベストプラクティスを導入し、堅牢なユーザー認証方法を確立するとともに、技術的および組織的な対策を通じてアタックサーフェスを減少させることによって、サイバー犯罪者の不正行為を阻止するということが重要です。日々進化するサイバー犯罪の情勢を理解し、その最新トレンドをスピーディに把握することで、次の被害者になる事態を防ぐことができるのです。
また、以前私が寄稿した記事でもお伝えしましたが、セキュリティ戦略を強化して攻撃者の先を行くためには、アンダーグラウンドのソースから収集された脅威インテリジェンスデータ(脅威インテリジェンスソリューションが提供しているデータなど)の活用を検討することも重要です。アンダーグラウンドのソースは、潜在的なリスクが真の問題に発展する前に、皆さんにその存在を教えてくれる存在でもあるのです。
脅威インテリジェンスデータを入手した後は、最も重要なデジタル資産を特定して優先順位を付け、それらの資産を保護するための包括的な計画を策定します。利用可能なリソースを駆使して、攻撃に悪用されうるベクトルについての情報を入手し、悪意ある攻撃者に組織の弱点を悪用される事態を防ぐのです。また、策定した計画を展開してゆく中で、様々なソースからさらに重要な情報(サイバー犯罪の調査結果や脅威アラート、脅威アクターに関するレポート、その他)を収集できるようになるでしょう。
●結論
効果的なサイバーセキュリティを実現するには、まずアンダーグラウンドのサイバー犯罪社会を理解する必要があり、それに加えて能動的な脅威対策を策定することが重要となります。サイバー脅威インテリジェンスは、組織の皆さんが新たな攻撃ベクトルを評価して予測し、対策を立てる上で重要な役割を果たします。
サイバー犯罪者が、どこでどのようにビジネスを行っているのかを知ることは、彼らの活動の大半を監視・分析することにもつながります。そしてそれらの情報は、組織のネットワーク防御を担当される皆さんが、自組織のリスクをより正確に評価し、攻撃に対して防御する上で大きく役立ちます。
KELA CEO デービッド・カーミエル
サイバーインテリジェンス業界で15年以上の経験を持ち、軍と民間の両方でKELAのCEOを務める。 インテリジェンスに関する広範な専門知識と戦略的ビジネスへの理解を兼ね備え、KELAのグローバル展開を推進し、会社の成長軌道を加速させている。 テルアビブ大学機械工学科卒業。
![[Security Days Fall 2016開催直前インタビュー] イスラエルのインテリジェンスの経験と技術を民生利用、ダークネットでやりとりされる顧客への脅威を検知(KELA) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21127.jpg)
![ダークネット議会開催/ゲートウェイ機器が標的に/“心ある”専門家と再検討を/WeChatのダダ漏れっぷり ほか [Scan PREMIUM Monthly Executive Summary 2023年6月度] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/42020.jpg)
