2024.12.18
中小企業におけるセキュリティ脅威への対策強化〜犯罪のビジネス化(アンダーグラウンドサービス)から対策を学ぶ〜
目次
独立行政法人情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。
今回は10位に挙げられている「犯罪のビジネス化(アンダーグラウンドサービス)」(以下、アンダーグラウンドサービスと記載)に焦点を当てます。
アンダーグラウンドサービスとは、サイバー攻撃が金銭的利益を追求する目的で行われ、その目的を果たすための仕組みが発展している状態を指します。サイバー犯罪がビジネス化されたアンダーグラウンド市場では、アカウントのIDやパスワード、クレジットカード情報、ウイルスなどが売買され、サイバー攻撃のスキルがなくてもハッキングなどの犯罪行為が容易に行えるようになっています。
引用元:IPA 情報セキュリティ10大脅威 2024 解説書より
1.アンダーグラウンドサービスによる脅威
企業や個人が保有する情報が大きな金銭的価値を持つ現代、サイバー攻撃を目的としたツールやサービスがアンダーグラウンド市場で日常的に取り引きされています。
アンダーグラウンドで商用化されたツールやサービスとして、16SHOP というフィッシングサイトを作成するツールや、RaaS(Ransomware as a Service)*1、AaaS(Access as a Service)*2 などのビジネスモデルがあります。
*1 RaaS(Ransomware as a Service):ランサムウェア本体や身代金要求のための攻撃に必要な一式をサービスとして提供するサイバー犯罪のビジネスモデルの一種。
*2 AaaS(Access as a Service):企業のWebサイトやITシステムへの不正アクセスツールやアクセス権限自体を販売するサイバー犯罪の分業形態。AaaSを利用することでサイバー犯罪者は標的へのアクセス権限を自身で搾取することなくアンダーグラウンドで購入することができる。
これらを利用した攻撃が増えています。攻撃を受けた場合、ウイルス感染や金銭の窃取、サーバーへのDDoS攻撃や業務妨害の被害に遭う可能性があります。
アンダーグラウンドで取り引きされているサービスやツール等は、ダークウェブと呼ばれる通常のブラウザでは検索できないWebサイト上に存在する場合があります。
また、近年では、匿名性の高いメッセージサービスのグループチャットを利用した取引も確認されています。
2.代表的な攻撃例
(1)購入したツールやサービスを利用した攻撃
アンダーグラウンドで購入したツールやサービスを利用して、脆弱性の悪用やボットネット*3の利用など、様々な攻撃を行います。
代表的なサービスとして、ランサムウェアを販売するサービス(RaaS)や、不正アクセスの手段を販売するサービス(AaaS)が確認されています。
*3 ボットネット:ボット*4 に感染したコンピュータと、攻撃者の命令を送信する指令サーバーによって構成されたネットワークのことで、攻撃者はボットネットに接続したコンピュータに対して一斉に同じ指令を与えることができます。
*4 ボット:ボット(bot)とは、コンピュータで指定された作業を自動的に実行するプログラムの総称ですが、ここでは同じ機能を持ったマルウェアの一種として記述されています。
(2)購入した認証情報を利用した攻撃
アンダーグラウンドで購入したIDやパスワードなどの認証情報を利用して、不正ログインを行う攻撃です。
(3)サイバー犯罪に加担する人材の募集
サイバー犯罪は、組織的に行われることもあります。
アンダーグラウンドの掲示板に高額な報酬を提示して人材を募集し、組織的な犯罪を行います。
3.アンダーグラウンドサービスの事例
【事例1:ChatGPTのアカウント売買】
2023年4月、チェック・ポイント・リサーチは盗まれたChatGPT有料アカウントの取引増加を警告しました。
盗まれた有料アカウントはダークウェブ上で販売されており、悪意ある第三者にアカウントが購入された場合、正規ユーザーのアカウントが乗っ取られ、情報の漏えいやクレジットカード情報が窃取される可能性があることを指摘しています。
盗まれた有料アカウントは販売されるだけではなく、盗みのためのサービスやツールを宣伝することを目的に、無償で提供されることもあります。
【事例2:国内製造業の情報がダークウェブに流出】
2023年6月、アイギス・テックは国内の主要製造業30社について、ダークウェブへのアカウント情報漏えい状況調査結果を発表しました。
調査した30社すべてで、ダークウェブ上にアカウント情報や機密文書がアップロードされていることが判明しました。
特に製造業は、過去に調査した金融機関、行政機関の結果と比較すると、情報漏えい件数やハッキング被害件数などにおいてすべて上回っていました。
【事例3:ウイルスの月額販売】
2023年10月、Fortinetは情報窃取ウイルス「ExelaStealer」がダークウェブ上に登場したことを注意喚起しました。
このウイルスはWindowsプラットフォームを標的にしたもので、クレジットカード等の情報を窃取します。
月額や買い切りで利用する方法があり、月額20ドルと安価に提供されています。また、カスタマイズサービスも提供されており、さらにビジネス化が進んでいると言えます。
従来のサイバー攻撃は、個人が自分のスキルを披露する目的や、攻撃対象となる企業や個人への嫌がらせを目的に行われることが中心でした。しかし、昨今のサイバー攻撃は金銭的な利益を得るための手段、つまりビジネス化しています。個人の技術に依存しない攻撃の仕組みが確立されているため、ツールやマルウェアを容易に入手・利用できてしまいます。アンダーグラウンドサービスの開発者は、さらに利益を得るために開発を促進し、犯罪のビジネス化がますます進んでしまうのです。
4.アンダーグラウンドサービスの対策
攻撃に使用されるツールやサービスによって対策は異なりますが、以下の代表的な対策を実施しましょう。
より具体的な対策については、これまでのメールマガジンでご紹介した他の脅威を参照してください。
(1)経営者の観点
◇組織としての体制の確立
・インシデント対応体制を整備し対応します※
(2)組織(システム管理者)の観点
◇被害の予防
・DDoS攻撃の影響を緩和するISP(インターネットサービスプロバイダー)やCDN(コンテンツデリバリーネットワーク)等を利用します
・システムの冗長化等の軽減策を適用します
・Torノード*5 の検知/ブロックを行います
・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※
*5:Torノード:Tor(The Onion Router)は匿名通信を可能にするソフトウェアで、Torノードはそのネットワークに参加するホストを指します。
◇被害の早期検知
・ダークウェブの監視
監視サービス等を用いて、自組織に影響のある攻撃情報や流出情報の存在を確認します
◇被害を受けた後の対応
・適切な報告/連絡/相談を行います※
・通信制御(DDoS攻撃元をブロック等)
・Webサイト停止時の代替サーバーの用意と告知手段を整備します
・適切なバックアップ運用を行います※
・インシデント対応体制を整備し対応します※
(3)組織(PC利用者)の観点
◇被害の予防
・情報リテラシー、モラルを向上させます※
・メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしないように注意します※
・サーバーやクライアント、ネットワークに適切なセキュリティ対策を行います※
・多要素認証等の強い認証方式を利用します
◇被害の早期検知
・不審なログイン履歴を確認します
◇被害を受けた後の対策
・インシデント対応体制を整備し対応します※
「※」の詳細については、IPAの「情報セキュリティ10大脅威2024」の68ページの「共通対策」をご参照ください。
また、インシデント対応体制を整備し対応するための方策については、「もっと知りたい!セキュリティ」の「セキュリティインシデント対応(1/2)」および「セキュリティインシデント対応(2/2)」でも解説しています。こちらも併せて参照してください。
ここまで犯罪のアンダーグラウンドサービスについて考えてきましたが、いかがだったでしょうか。
アンダーグラウンドサービスにより、攻撃者にとっては攻撃のハードルが下がり、企業にとってはより脅威が高まることがおわかりいただけたと思います。
情報が大きな金銭的価値を持つようになったことで、攻撃技術や手段が売買され、さらなる攻撃手段の開発が進んでいくという負の連鎖のビジネスモデルが新たな脅威となっています。
犯罪のビジネス化による脅威の高速化と拡大には、適切なセキュリティ対策を日々継続することが重要になると言えます。常にこのような脅威への準備を万全にすることが、企業の持続可能な発展を支える鍵となります。
今回で、IPAの「情報セキュリティ10大脅威2024」の10大脅威についての解説は終了になります。
次回からは、情報セキュリティ対策を実践する責任者・担当者を対象に、実務的な進め方について説明していきます。
5.事例
事例を見る
1.チェック・ポイント・リサーチ、ChatGPTに関する新たな懸念となる窃取された有料アカウントの売買増加を確認(PRTIMES)
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
