前回記事ではアンダーグラウンドマーケットで取引されるインフラについて説明しました。それらのインフラの中でも、防弾ホスティング(BPH)サービスは、長きにわたりサイバー犯罪インフラを保護する重要な要素としてサイバー犯罪者に利用されています。これらのサービスは、サイバー犯罪者の不正活動をどのように保護しているのでしょうか。また、サイバー犯罪者はどのように防弾ホスティングサービスを利用してビジネスを継続しているのでしょうか。
多くのサイバー犯罪活動には、ある程度の組織、計画、およびその背後に存在する個人またはグループの技術的洞察を反映する何らかの形の活動基盤があります。アンダーグラウンドで提供されるインフラを利用することは、サイバー犯罪者が不正活動を遂行する上で必要不可欠のものです。弊社トレンドマイクロは、サイバー犯罪を幇助する情報が闇市場で取引される方法や提供されるサービスの種類について別々のホワイトペーパーにまとめて公開したのち、本ブログでも概説しました。本ブログ記事では、サイバー犯罪者がサーバなどの資産を不正に確保し、ビジネスで生き残るために採用する手口について解説します。
サイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。
サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。
トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。
トレンドマイクロでは、2019年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。トレンドマイクロのネットワーク監視の中では、毎月約1割の監視対象に対してネットワーク侵入の危険性高として警告が行われています。
図:ネットワーク監視における脅威兆候の検出有無と侵入危険度高判定の割合(監視対象100組織中) (さらに…)
続きを読む本記事では、「人工知能(AI)」の悪用、濫用の現状と共に、将来的にサイバー犯罪者が人工知能の技術を悪用し不正に利益を得ると想定されるシナリオについて考察します。本記事の内容はトレンドマイクロ、国連地域間犯罪司法研究所(UNICRI)、そして欧州刑事警察機構(Europol)の三者による共同研究に基づいています。 (さらに…)
続きを読むマルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)
企業は未来を見据えたアプリケーション構築のため、マイクロサービスアーキテクチャに注目しています。マイクロサービスは企業のインフラストラクチャ管理を効率化し、アップデート・改善点を容易に展開できるようにするほか、ITチームを革新し、失敗から早く見識が得られるよう支援します。さらに企業はマイクロサービスを利用することで、要求に応じて拡張性の高いアプリケーションを簡単に作成できるようになります。これらの利点がある一方で、企業が、1つのモジュールで構成される従来のモノリシック型アプリケーションからコンテナ化によって分割構成されるマイクロサービスアーキテクチャに移行した場合、マイクロサービス間の効率的かつ堅牢な通信を確立する必要性が生じます。クライアントアプリケーションとサーバアプリケーション間で行われる重要かつ複雑な通信は、gRPCによって処理することができます。gRPCは、接続されたシステム間での通信を簡単に透過化・効率化するユニバーサルリモートプロシージャコール(RPC)フレームワークです。gRPCは2015年にGoogleが開発した比較的新しいRPCフレームワークですが、人気と需要が急速に高まっています。
セキュアなRPC APIはアプリケーションセキュリティにおいて極めて重要な役割を果たします。本ブログ記事では、開発者がgRPCに移行し、プロジェクト内でgRPCを実装する際に懸念されるセキュリティの穴について解説します。また、脅威からgRPC実装を保護してリスク軽減するための推奨事項についてもご紹介します。
続きを読むトレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットに対する監視や調査を行っています。アンダーグラウンドマーケットの最新調査結果に関しては本ブログでも、7月14日、15日、16日に連載記事の形で報告いたしておりますが、今回は更にアンダーグラウンド内で構築されるインフラやサービスの実情を深堀調査した結果についても報告してまいります。本記事では、アンダーグラウンドにおけるマーケットプレイスの内情について詳述し、サイバー犯罪者が集うコミュニティで提供される商品やサービスについて、また、アンダーグラウンドのインフラを利用する売り手と買い手がどのように取引を行っているかについて解説します。
