セキュアイノベーションが読み解く㊦
日本国内でもランサムウェアが多発し被害が深刻化している状況だが、ダークウェブはランサムウェアのようなサイバー攻撃とどのように関わり、どのような役割を果たしているのだろうか? 引き続きセキュアイノベーションでダークウェブ調査を専門に行っている調査員に解説していただく。
身代金を支払った企業情報は共有される
この画像はダークウェブにあるランサムウェアLockBitのリークサイトです。真ん中に記されている5D 02:11:03は身代金の締め切り期限を示していて、あと5日と2時間11分3秒以内に身代金を支払わなければデータを暴露するぞという脅迫です。ランサムウェアのリークサイトだけに留まらず、サイバー攻撃者の標的を探し、攻撃手法を得て、攻撃者を募り、得た情報をお金に換える、という一連の流れが闇サイトで完結し、いわば「サイバー犯罪の闇のエコシステム」とも言える状況が築かれています。この闇のエコシステムがどのように形成され、ダークウェブがどのように関わっているのか説明したいと思います。
ダークウェブには様々な情報やデータが溢れています。攻撃者はIDやパスワード、管理者情報、システム情報などを手に入れてターゲットのシステムを偵察し、偵察を踏まえてどのような攻撃をするのか計画します。そして、その計画に必要な攻撃ツールや不正なサービスをダークウェブから調達して攻撃に至ります。さらに盗んだデータをダークウェブで販売して収益化するわけです。攻撃がランサムウェアであれば、〇〇会社は身代金の支払いに応じたという情報(カモリスト)もダークウェブで共有されてしまう可能性があるため、身代金を支払った企業は他の攻撃者からも攻撃を受けるリスクが高くなります。
仮想通貨によって収益化されている
攻撃者はダークウェブで必要な情報やツールを得て攻撃を実行し、攻撃で得た顧客リストや口座情報などをダークウェブで販売して収益を得て、それら顧客リストや口座情報は新たな攻撃に使われるということが繰り返されてサイバー犯罪のエコシステムが築かれているわけですが、その際にもう1つ重要なポイントが仮想通貨です。仮想通貨は匿名性の高い状態で換金が可能であるため、それによりサイバー犯罪者にとっては安全に収益化を図ることができるようになっています。サイバー犯罪のエコシステムは、足がつきにくいダークウェブという場所と、そのダークウェブで流通している様々なデータや情報、そして決済をするための仮想通貨という3つの要素によって構築されていると言うことができます。
当社はダークウェブ調査サービスを提供しておりますが、その大きな効果は「予防」と「被害軽減」の2点と考えています。まず予防という面に関しては、企業のIDやパスワード、管理者情報、システム情報等がダークウェブに掲示されている場合、その企業は今後、それらの情報を用いて攻撃を受ける可能性があるわけですから、そうした情報を把握し、攻撃者に悪用される前に対策や防御を図るというものです。
次に被害軽減に関しては、企業が不正アクセス等のサイバー攻撃を受けてしまうケース等が想定されますが、その場合はダークウェブ上にデータが流出していないかをチェックし、早期に発見することで、調査や修正対応、関係各所への通知等、必要な対処へ早期に着手することが可能となり、それによりサイバー攻撃の被害を最小限に食い止めることに繋げるものです。
キーワードを選定して調査を行っている
ダークウェブの調査は、専用ソフトを用いて実施することも可能ですが、一般的にその専用ソフトは非常に高額です。そこで当社では専門の調査員がヒアリングを行い、調査を行う上で必要なドメインやファイル名などのキーワードを依頼者と相談して選定し、当社が蓄積しているダークウェブの知見をもとに可能性のあるサイトやフォーラムなどを効率的にチェックする形を取り、専用ソフトの使用を限定的にしています。
ダークウェブの調査は専用ソフトの費用や作業コスト、実施体制の維持の課題に加え、セキュリティリスクが伴うことから、一般的には企業が自ら調査を行うことは容易ではありませんが、その一方で企業は情報漏えいに対しては早急な対応が必要となってきています。当社では専門の調査員が普段からダークウェブをパトロールしてその状況を把握しており、すぐに調査に着手する態勢を整えています。
【セキュアイノベーション(Secure Innovation)】沖縄県那覇市に本社を置くサイバーセキュリティベンチャー。代表は栗田智明氏。2015(平成27)年10月設立。SOC運用とセキュリティ診断を柱に事業展開し、これら事業で培ったノウハウをもとに自社プロダクト製品「EISS(アイズ)」を開発し販売。またICTサポートとしてダークウェブ情報漏洩調査サービス(https://www.secure-iv.co.jp/darkwebservice)や脆弱性管理業務等を行っている。
