認証情報を転売する：イニシャルアクセスブローカーとは何か

何かにアクセスするための手段は、それ自体がパワーを持っています。ワシントンで何かを成し遂げたいのなら、政府の舵取りをすることができる適切な人物を知らなければなりません。ビジネスを始めるなら 資本金やその他の財源にアクセスできることが非常に重要です。キャリアアップを目指す場合でも、人脈があれば適切なチャンスをものにすることができます。

サイバー犯罪も同じです。報酬を得たり、混乱を引き起こしたり、情報を盗んだりするためには、世界中の企業、政府機関、著名人などの主要な標的にアクセスする手段が必要です。しかし、標的を監視し、攻撃計画を立て、情報を発信し、最初のアクセスを成功させるためには時間がかかり、時には数カ月から数年かかることもあります。イニシャルアクセスブローカーは、ネットワークへのアクセス手段を収益化するというビジネスモデルを構築することに成功したサイバー犯罪組織であり、急速に増加しています。

イニシャルアクセスブローカーとは何者なのでしょうか? 彼らはどのようなサービスを提供し、なぜ成功を収めているのでしょうか? なぜ私たちは彼らを無視できないのでしょうか? ここでは、これらの重要な質問に対する答えを紹介します。

イニシャルアクセスブローカーとは何か?

イニシャルアクセスブローカーは、セキュリティ業界における日和見主義的な鍵屋ということができます。標的となる組織の認証情報を入手し、それを外部に販売するのです。クレジットカードや暗号通貨のアカウントを知っていれば、Ransomware-as-a-Service（RaaS）を利用することができますが、それらを得るための監視や調査のプロセスには時間と労力がかかります。しかし、標的へのアクセス手段を購入すれば、それを省略することができます。攻撃者は認証情報を購入して、手っ取り早く企業情報やシステムの身代金要求、データ窃盗、ペイロードの配布、業務妨害などを行うことができます。攻撃者が標的のネットワークにアクセスするまでの時間が短縮され、機会を逃さず迅速に行動することが可能になるのです。

なぜこの傾向が問題なのか?

イニシャルアクセスブローカーは、企業標的を狙うリーンでアジャイルな攻撃者に、全く新しい市場をもたらします。サイバー犯罪者は、もはや専門的なハッカーでなくとも、クレジットカードや暗号通貨のアカウントを入手して多国籍企業や政府機関に侵入することができます。さらに、これまでスポーツ感覚でネットワークに不正アクセスしてきた趣味的ハッカーは、そこで得た認証情報を悪用することはありませんでしたが、今では道徳的な責任を感じることなく、その成果を収益化できるようになりました。イニシャルアクセスブローカーは、最も高い値をつけた顧客に認証情報を販売するだけですから、その顧客がどのような害悪を撒き散らそうとも、それとは直接関係ないと考えるのです。これにより、攻撃の規模や範囲が拡大される可能性が高くなります。

イニシャルアクセスの市場はどのようなものか?

驚くほど安いのです。Kelaによると、イニシャルアクセスブローカーは平均しておよそ5,400ドルで認証情報を販売しています。ただ、多国籍企業や有名な政府機関が所有するネットワークのドメイン管理者権限などは、かなり高い値段で取引されているようです。認証情報の売買には通常1-3営業日かかり、米国とEUの企業が最もよく標的にされています。ロシア語圏で最も有名なランサムウェア運営会社5社（LockBit、Avaddon、DarkSide、Conti、BlackByte）は、いずれもイニシャルアクセスブローカーを利用することが知られています。

イニシャルアクセスブローカーを使った著名な攻撃にはどのようなものがあるか?

最近、バンコクエアウェイズに対して行われたサイバーセキュリティのインシデントには、イニシャルアクセスブローカーが関わっていました。同航空会社のCisco AnyConnect VPNを介した認証情報が2021年7月にオークションに出品され、そのわずか2カ月後に同社は、乗客データを不正に暴露する攻撃の被害に遭ったと発表しています。

イニシャルアクセスブローカーは、どのようにしてランサムウェア攻撃を可能にするのか?

イニシャルアクセスブローカーを使った攻撃の仕組みは非常に単純です：

1. イニシャルアクセスブローカーは、HEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）テクニックを駆使して、防御が不十分なWebサイトを侵害します。これらのWebサイトはすでに高いレピュテーションを保持しているため、URLカテゴライズやその他のフィルタリングによる防御手段では、このサイトをブロックしたり、フラグを立てたりすることはできません。このHEATの手法は、Menlo Labsの研究チームによってLegacy URL Reputation Evasion（LURE）として分類されており、悪名高いLazarus Groupが最近使用したものです。
2. 侵害されたWebサイトが悪意のあるPDFをホストし、それが検索結果に表示されます。
3. ユーザーはSEO対策されたリンクをクリックし、複数のHTTPリダイレクトの後、悪意のある第一段階のマルウェアペイロードがエンドポイントにダウンロードされます。
4. 攻撃者は、このバックドアアクセスを利用して、システム情報を収集します。
5. そしてイニシャルアクセスブローカーは、ダークウェブを通じてランサムウェアの脅威者に認証情報を販売します。
6. このランサムウェアの攻撃者は、バックドア経由でCobalt Strikeペイロードを配信し、ネットワーク全体に横展開します。
7. 攻撃者は、Active Directoryを経由してドメインを完全に侵害します。
8. 攻撃者は、接続されているすべてのワークステーションとデバイスにランサムウェアを配備します。

イニシャルアクセスブローカーはなぜこれほど成功しているのか?

デジタルトランスフォーメーションの加速、最新のアプリケーション、マルチクラウド環境、リモートワークなどによって攻撃対象が広がったため、組織がすべての分散した資産を保護することは不可能になりました。悪意のある攻撃者は、HEAT技術やVPNの脆弱性、ユーザーの行動などを利用して、従来の検知/対応型の防御を回避することができます。

HEATベースの攻撃は、従来のWebセキュリティ対策を回避し、Webブラウザーの機能を利用して、イニシャルペイロードの配信や認証情報の侵害を行います。通常は攻撃を検知した時点（検知できれば、ですが）ですでに手遅れです。その時までに認証情報は最高額の入札者に売却されている可能性が高く、入札者は投資を回収する必要に迫られているのです。

これらの攻撃を阻止するにはどうすれば良いか?

これらの攻撃を阻止する唯一の方法は、イニシャルアクセスブローカーに初期の段階で組織内に足場を築かせないことで、潜在的な侵害を無効化して、そもそも侵害が起きなかったことにしてしまうことです。そのためには、高度なアンチフィッシング機能とインターネットアイソレーション機能に重点を置いた強固な保護戦略が必要です。アイソレーションは、インターネットとユーザーのデバイスの間に、クラウド上の仮想的なエアギャップを作成します。すべてのコンテンツはアイソレーション機能を備えたセキュアWebゲートウェイ（SWG）を経由し、クラウド内で分離されて実行されます。これにより、悪意のあるなしにかかわらず、すべてのコードがエンドポイントで実行されなくなり、悪意のある攻撃者のネットワークへのアクセスが遮断されるため、HEAT攻撃は無効となるのです。