情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

KELA

アンダーグラウンドのサイバー犯罪エコシステム、
企業の攻撃表面を縮小するためのインテリジェンスの活用

サイバー犯罪のプラットフォームとしても利用されている「ダークネット」。しかし、その実態は決して闇の中に完全に隠されたものではない。実際にダークネットの中ではどのようなことが起きているのか、どのようにサイバー犯罪から組織を守ればいいのか、KELAのCarmiel氏が語った。

KELA CTO 元イスラエル国防軍 サイバーインテリジェンスオフィサー David Carmiel 氏 KELA CTO 元イスラエル国防軍 サイバーインテリジェンスオフィサー David Carmiel 氏

KELA

CTO
元イスラエル国防軍

サイバーインテリジェンスオフィサー

David Carmiel

ダークネットで構築されるサイバー犯罪のエコシステム

 最初に、Carmiel氏はKELAについて「ダークネットにおける標的型インテリジェンスの第一人者です」と紹介し、セキュリティ業界の仲間による「ダークネットは『深層(Deep)』ではなく、『闇(Dark)』でもなく、氷山の下に隠れた不気味な存在でもありません。ダークネットは、実世界のベンダーと消費者によって営まれ、製品やサービス、および情報が流通するエコシステムなのです」という言葉を引用した。

 そもそも「ダークネット」とは、特定のソフトウエアを使用することによってのみアクセス可能なインターネットの領域を指す言葉だ。通信が匿名化されているため、サイバー攻撃のための情報や違法な商品の取引に利用されており、その分析を通してサイバー攻撃の兆候をつかむことが可能となる。

 ダークネットには、さまざまな活動を行うチームやグループがあり、攻撃者は、最終的には金銭の詐取を目的にしているが、そこにたどり着くまでにはさまざまなステップがあるという。「たとえば、ツールの開発やその販売、または不正に手に入れたメールアカウントの流通などを行っています」(Carmiel氏)

 ダークネットを利用してサイバー攻撃を行う犯罪者にも、いろいろな動機があり、攻撃者の76%は金銭を目的としているが、他にも政治的な意思表示や政治目的の実現のために、ハッキングを手段として利用する行為もある。また、攻撃者の後ろには、国家が組織化した戦略的な犯罪集団の存在もあるという。Carmiel氏は、そういった攻撃の標的とされる前に、インテリジェンスを使って攻撃者の動機や意図を理解し、対策を立てることが重要であると述べる。「攻撃者はエコシステムの一部です。彼らは構造化されているので、ある程度まではモニタリングが可能です」(Carmiel氏)

 攻撃者の行動を解析すると、データを盗み、それをお金にしていくというシンプルなものであるとCarmiel氏は述べる。彼らは、データが換金できることが分かると、効率的なビジネスモデルを作って収益化し、さらにスケールアップする。スケールアップの見込みがなければ撤退する。「それは、他の一般的なビジネスと同様に、サプライチェーンやアウトソーシングに依存しているのです」(Carmiel氏)

ユースケース - 詐取した認証情報の収益化

詐取した認証情報の収益化のユースケース

画像を拡大する

金銭詐欺を目的としたサイバー犯罪のビジネスモデル

 攻撃者はどのようにダークネットを利用して収益化するのか。これについてCarmiel氏は、自分が脅威アクターであると仮定して、いくつか例を示した。「脅威アクターは、PCやサーバ、モバイル端末、IoTデバイスなどマルウエアに感染した数多くのデバイスを使って、決済情報や認証情報を収集します。収集した情報は金融詐欺等のさまざまな不正活動に利用します。ランサムウエアを送り込み企業や個人を脅迫する場合もあります」(Carmiel氏)

 さらにCarmiel氏は、犯罪者のビジネスモデルについて具体的に掘り下げていく。最初のユースケースは、盗んだ認証情報の収益化だ。PCやモバイル端末など多数のデバイスを感染させた脅威アクターは、SNSや通販サイト、オンラインバンキングなどのサービスにログインする「認証情報(IDとパスワードの組)」だけでなく、「クッキー」や、「フィンガープリント」と呼ばれるユーザーを特定するための情報などをデバイスから盗み出す。それらの情報を、どのようなサービスへのログイン情報なのかが分かるようにしてダークネットで販売する。ハッカーからの人気のあるサービスほどよく売れ、そこから脅威アクターは利益を得る。

 ロシアのある脅威アクターはボットネットによって収集したさまざまなログイン情報をデータベース化し、FTPサーバからダウンロードできるようにした。他にも、専用の取引プラットフォームを制作してボットネットへのアクセス権を販売する脅威アクターもいる。悪意を持った攻撃者は、そのプラットフォームを閲覧して適切な標的を定め、感染した端末へのアクセス権を購入するのだ。

 ダークネットでは、脅威アクターがさまざまなネットワークや端末へのアクセス権を販売しているとともに、ダークネットのコミュニティの中には、ペネトレーションテスターや、マルウエアや攻撃ツールのソースコードを書くプログラマーを探していたり、ランサムウエアのインフラを構築してほしいという依頼もあるという。「彼らは、攻撃が成功すれば収益を分配するというようなサイバー犯罪を組織化するビジネスモデルを構築しているのです」(Carmiel氏)

東京オリンピックで狙われる日本をインテリジェンスで守る

 イスラエル国防軍のノウハウを活用するKELAの大規模なサイバーインテリジェンスセンター(CIC)は、ダークネットから収集した情報をインテリジェンスとして企業および政府機関にリアルタイムで提供できるという。CICでは、KELAのクライアント企業の従業員や、クライアント企業と取引のあるその他の企業や人物などを対象に、クライアントの資産をダークネットでモニタリングする。その結果から、クライアントに対してさまざまな勧告を与えたり、対策を推奨する。さらに、インシデント中心のクライアントサポートや情報収集およびエンリッチメント(追加・補完)も提供するという。

KELAのサイバーインテリジェンスセンター(CIC)

KELAのサイバーインテリジェンスセンター(CIC)

画像を拡大する

 一方で、KELAは新しいマルウエアのトレンドをダークネットで追跡し、ダークネットでさらされているクライアントの情報を検索し、その対策を提供している。加えてクライアントの認証情報がダークネットで取引されていないかについても追跡を行い、攻撃者とその動機を深く掘り下げて調査し、広範な情報提供やアドバイス、継続的なモニタリングを提供しているというのだ。

 最後にCarmiel氏は、「2020年のオリンピック開催をターゲットにして、ダークネットには日本の大企業や金融機関をはじめ、さまざまな組織の情報を取引するプラットフォームがすでに存在しています。日本では、ダークネットのリソースを解析するノウハウを持っている企業は少なく、インテリジェンスもまだ浸透していません。サイバー攻撃の悩みや対策については、日本語でも英語でも構わないのでいつでも私たちに相談してください」と述べ、講演を終えた。

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

当日の講演資料はこちらから

お問い合わせ先

KELA

お問い合わせURL

URL ● https://ke-la.com/ja/

お問い合わせはこちら

このページのトップに戻る