通知ウザウザ詐欺、イニシャルアクセスブローカーなど“新たな脅威”の把握に疲れたあなたへ――セキュリティリサーチャーズが提言する「バランス感覚」とは：ITmedia Security Week 2022 冬

2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、ポッドキャスト「セキュリティのアレ」でも活躍するセキュリティリサーチャーの根岸征史氏、辻伸弘氏、piyokango氏の3人が、今回は変化の中でも“一度立ち止まり振り返る”というテーマで登壇。「シフトする脅威の掴み方」と題して、見逃してはならないポイントをそれぞれの視点で語った。

[宮田健，＠IT]

左からSBテクノロジー 辻伸弘氏、piyokango氏、インターネットイニシアティブ 根岸征史氏

サイバー攻撃を“仲介”するだけで安全にもうける「イニシャルアクセスブローカー」（IAB）

　ITmedia Security Weekでも継続して“ランサム”を追いかけている辻氏は、注目すべき存在として「IAB」を挙げる。IABとは「イニシャルアクセスブローカー」の略で、ランサム攻撃をはじめ分業化されているサイバー攻撃において見逃してはならない存在だ。

　ランサム攻撃においては、攻撃用プラットフォームを提供する「Ransom as a Service」（RaaS）と、RaaSを利用して実行犯となる「アフィリエイト」があり、その先に被害者が存在する。アフィリエイトと被害者の間にいるのが、IABだ。

RaaSとアフィリエイトとIAB

　RaaSを利用して実行犯となるアフィリエイトは、IABが持つ「侵入のための情報」を使い、ランサム攻撃を行う。

　IABが受け持つのは「侵入のための情報」だ。アフィリエイトとしてランサム攻撃を仕掛ける攻撃者も、組織に侵入できなければ攻撃が成立しない。IABは脆弱（ぜいじゃく）性や設定不備の情報を売買し、アフィリエイトはそれを“仕入れ”る。アフィリエイトは既に発見されている侵入口を使って組織の内部に入り込み、攻撃するのだ。これまで語られてきた攻撃者における役割分担が、さらに細分化されたということだ。

　ランサム攻撃の需要増加に伴い、IABの活動も活発化している。辻氏がリサーチした結果によると、IABは“商品”を、組織に残る脆弱性やRDP（Remote Desktop Protocol）、VPNなどの認証突破、マルウェアによるバックドアによって仕入れたり、さらには内通者を経由したアクセス経路などから仕入れたりしている。これらを元に、ネットワークアクセスや認証情報、そして感染端末を“商品”として“販売”しているのだ。

　「これらの商品は手順書とともに販売されている。組織の業種や売り上げ規模、アクセス時の権限を明示して販売しているものもあり、オークション形式での販売も存在する」（辻氏）

IABの取扱商品

　IABを介した被害も幾つか明らかになっている。例えばライドシェアサービスの「Uber」では、個人端末を経由して認証情報をIABが入手してそれを攻撃グループの「LAPSUS$」に販売し、認証情報を元にLAPSUS$が攻撃を仕掛けた。ここでは、後述する「MFA Fatigue」も利用された。

Uberにおける攻撃事例