Japanese Darkweb in the spotlight - Blog Banner

ダークウェブにスポットライトを当てる:オートショップと二次的なマネタイゼーション

Sling では非常に正確なサイバーリスクスコアのプロセスを作成しています。 弊社のテクノロジーはダークネットを常に監視し、 サイバー犯罪空間でクライアント様が言及されるたびに多数の情報源を調査します。 情報源の中には違法なマーケットプレイスやオートショップ、 ハッキングフォーラム、 インスタントメッセージンググループ、 情報共有のためのウェブサイト、 ハッキングレポジトリが含まれます。

オートショップとは各種のデジタルアイテムを提供しているインターネットフォーラムで、ハッキングしたメールアカウント、ウェブサーバーへのリモート管理アクセス(cPanel や webshell)、プレミアムアカウント(Amazon や Netflix など)、盗難クレジットカードなども含まれています。オートショップでは取引にデジタル通貨を使用することでアイテムを瞬時に手に入れることができます。

サイバー犯罪環境ではオートショップが重要な役割を担っています。企業や組織に対するサイバー攻撃は、こうしたサイトで購入した製品と直接関係しています。たとえばビジネス用のメールはソーシャルエンジニアリングのきっかけとして使われ、コンピュータの侵害や感染、暗号化によく利用される手段です。同様に、ウェブサイトへの管理者アクセス権を入手することで、攻撃者は DoS(サービス拒否)、データベースの漏えい、ランサム攻撃など、悪意のあるアクションを実行できるようになります。販売されているビジネスアカウントの多くがランサムウェアグループの主なターゲットでもある中小企業のものなので、こうしたグループにとっては余計に魅力的なものになっています。

悪名高い少数の大規模なショップ以外に、取引量が非常に多い小規模なショップが多数あります。事実こうしたショップはダークウェブの中心的な存在です。ダークウェブでは個人や企業の資産へのアクセス権を、悪用しようとする人に販売しています。

クライアント様のサイバーリスク分析モデルの基になる情報源(インプット)を拡大するために、Sling は自社の専門知識を適用してこの種のショップの探索/監視のための方法を開発しています。
二次的なマネタイゼーションという現象も見受けられます。

調査の一環として大規模なサイバー犯罪市場(たとえばロシアの Genesis など)でのアクティビティを掘り下げて研究しています。これは様々なアクターが「ログ」を販売している Onion サイトを中心としたオンラインプラットフォームです。「ログ」には情報を盗み出すためのマルウェアが組み込まれた全世界のマシン(bot)から収集したデータやブラウザに保存された情報が含まれています。こうしたサイバー犯罪市場では、1台のマシンから不正に入手したすべてのアカウントは「bot for sale」と呼ばれるパッケージとして販売されています。

販売業者は感染した複数のアカウントを含む bot を大規模な専用市場で購入し、パッケージを「解凍」してオートショップの各カテゴリーでアイテムを個別に提供していることがわかりました。関心のあるサイバー犯罪者に人気の高いカテゴリーには、アカウント(Amazon Prime、Netflix、Domino、Papa Johnなど)へのアクセス権を提供する直接的なものもあれば、広告中心のもの(メーリングリストやメーラーなど)、ビジネス用のメールや認証データへのアクセスなどサイバー攻撃用に設計されたものがあります。

まさにサイバー犯罪の世界における卸売と小売マーケティングなのです。小規模に展開し、個人顧客向けにカスタマイズされている小売店と同様に、オートショップも同様なレベル向けにカスタマイズされています。アイテムは個別に掲載、販売されています。登録やログインも簡単です。大規模な Onion 市場とは異なり、登録時のデポジットも不要で、コミュニティ内の他の人から紹介してもらう必要もありません。事実これらのサイトの多くが Onion サイトですらなく、Tor を使って任意のブラウザからアクセスできます。したがってバイヤーは自動プロセスで、さらに便利にデジタルアイテムにアクセスすることができます。最終的な製品はアカウントの自動販売機のようなものです。

ただしこの種のウェブサイトは検索エンジンによるインデックス処理はされないので、検出や除去が難しいのです。

■ 無検閲のオートショップ:

デジタルアイテムの取引では機密保持が不可欠です。2つの例を紹介します。パスワードなどの知識認証要因では、知識を入手することで所有権も入手できます。しかしウェブアクセスの場合、販売者は潜在的なサイトオーナーにアセットの侵害、悪用を知られたくないため、バイヤーが知りたい情報だけを開示し、検閲済み、または部分的なドメイン名など、リストの詳細は隠すことが多いです。

これにより、検出が非常に困難になります。オンラインのオートショップを検出後、アクセス権を取得して除去し、販売者が何を共有しようとしていたのかを明らかにする必要があります。SLINGはこうした課題を克服し、企業のアセットをリストと照合するために、各種のツールを使用して独自の技法を開発しました。これにより企業はランサムグループや脅威アクターによる攻撃前にサイバーセキュリティの侵害を認識することができます。

■ サイバーリスクスコアにとっての重要性:

オートショップ環境のこうした調査と膨大な情報源としてのダークネットの把握は、情報セキュリティリスクへの対処において重要な要素です。これによって企業のエクスポージャがどこでどのように発生しているのかを把握し、個別の脆弱性に伴うリスクを分析できます。

Sling では企業のデジタルアセットとサイバーリスクを特定、監視することで、中小企業(SMB)向けに独特なサイバーリスクスコアソリューションを提供しています。

お問い合わせ先