トレンドマイクロは7月14日、非合法に取得したと思われる情報や攻撃ツールを売買するアンダーグラウンドマーケットに関する調査結果を同日から順次公開すると発表した。同調査は、2015年~2019年のアンダーグラウンドマーケットで売買される情報や攻撃ツールの変化に着目している。

「Access-as-a-Service」の多様化

アンダーグラウンドマーケットでは、企業内ネットワークへのアクセス権が販売されており、こうしたサービスを「Access-as-a-Service(AaaS)」と呼び、従来はコンピュータを遠隔操作するためのRDP(Remote Desktop Protocol)のアクセス権の販売が中心だったという。

2019年の調査では、RDPに加えて、企業ネットワークへ侵入済みのRAT(Remote Access Tool:遠隔操作ツール)やクラウドストレージへのアクセス権、経営層レベルの認証情報など、さまざまな形態のアクセス権が販売されていることが判明した。

インターネット側からリアルタイムでの画面操作を伴うRDPと比較して、企業ネットワーク内に入り込んだRATの場合、被害者側の画面上では気づきかれにくい特徴があることに加え、RATは通信元や通信内容を監視して攻撃かどうかを判断する必要があるため、サイバー攻撃者にとっては標的企業に気づかれにくい手法だという。また、経営層レベルの認証情報を悪用することは、標的の企業に対して影響度の高い攻撃を実現できてしまうことを意味する。

例えば、米国の保険会社へのアクセス権は1999米ドル(約21万円)、欧州のソフトウェア会社へのアクセス権は2999米ドル(約32万円)で販売されており、Fortune 500にランクインしている企業のアクセス権は1万米ドル(約107万円)で販売されている事例も確認しており、侵入することで価値が高いと判断される企業へのアクセス権は高値で売買される傾向があるという。

  • 英国企業へのネットワークアクセス権の販売例

    英国企業へのネットワークアクセス権の販売例

企業側の対策としては、RDPなどの通信を行うポートの開放有無やログイン情報の管理、RATの通信を確認した際には、そのアクセス元が適切かなどを確認することが必要なほか、不信な通信が確認された際には情報窃取やランサムウェア攻撃などの二次攻撃の兆候がないかを確認することも重要だとの認識を同社では示している。

標的にあわせたフェイクニュースの懸念

調査では、社会情勢に影響を与える世論の操作を目的としたサイバープロパガンダ(宣伝工作)の一種である「フェイクニュース」の動向についても調査を実施。SNSを使った世論操作に悪用可能な偽のコメント作成や「いいね」の請負サービス(Instagramの1000件のいいねが、3米ドル~など)が、前回調査から引き続き低価格で販売されている。

今回、新たに米国やトルコ、フィリピンなど一部の国・地域の有権者情報が販売されていることを確認した。あるアンダーグラウンドマーケットでは、氏名、住所、生年月日、メールアドレスなどを含んだ米国の各州の有権者情報が9.99米ドル(約1100円)で販売されており、政治的な世論操作を試みるサイバー攻撃者がこうした情報を悪用し、より標的にあわせたフェイクニュースを流すことが懸念されている。

フェイクニュースは、引用元が明言されていない、同じ文面で複数のSNS投稿がされているなどの特徴があり、インターネット利用者がフェイクニュースへの対策を行うには1つの情報源ではなく、複数の信頼のある情報源を参照する、いいねや動画の再生回数はその内容の人気度を測るものであっても、内容の信頼性を裏付けるものではないことを理解しておくことも重要だという。

  • 米国の有権者情報の販売例(ミズーリ州の有権者情報410万件の販売を謳う販売者)

    米国の有権者情報の販売例(ミズーリ州の有権者情報410万件の販売を謳う販売者)

MaaSの参入障壁低下

サイバー攻撃に使用可能なツール/サービスを販売するMaaS(Malware as a Service)は従来から存在しているが、直近ではランサムウェアやRATなどの攻撃ツールの販売、IoT向けボットネットのレンタルやDDoS攻撃代行サービスなど、多岐にわたる商品が取り扱われている。

PC向けのボットネットのレンタルは、2015年の調査で平均200米ドル(約2万1000円)だったものが、50米ドル/1日(約5400円/1日)と低下し、RATの月額利用料金は5米ドル~25米ドル(約540円~2700円)、ボット型IoTマルウェア「Mirai」のボットネットは10米ドル(約1100円)と、数年前と比較してサイバー犯罪への参入障壁が低くなってしまっているという。

一方、ランサムウェア(900米ドル/年など)やATMマルウェア(2000米ドル)、Android向けのボットネット(1500米ドル)など直接的に金銭を窃取するツールや、多くのユーザが利用するスマホに対する攻撃を行うことができるボットネットは高値で取引される傾向にある。

そのほか、AI(artificial intelligence:人工知能)や人物画像の合成技術であるディープフェイク(Deep Fake)など、新たな技術の悪用もアンダーグラウンドマーケットで模索されている。

現段階では「高度なAIエンジン搭載」を謳うギャンブル用ボットプログラムの提供や認証技術の1つ「CAPTCHA(キャプチャ)」を突破できるプログラムが販売されているほか、ディープフェイクを使ったポルノ動画・画像の作成サービスの提供が行われている。

アンダーグラウンドマーケットでは、これらの技術の悪用の可能性について盛んに議論されており、さまざまなサイバー犯罪への悪用が懸念されている。今後、数年間でこれまで考えられなかったサイバー犯罪が編み出されてしまう懸念もあり、セキュリティ対策を考慮する上では最新のサイバー攻撃の動向を踏まえて常に対策を検討し続けることが重要だと同社では指摘している。