ランサムウェアの脅威が増大する中、サイバー犯罪グループ間での専門化が進み、効率性が向上している。特に、被害者ネットワークへのアクセスを得るための作業をアウトソーシングする初期アクセスブローカー(IAB)の活動が活発化している。IABは、フィッシングやスパムキャンペーンを通じて組織へのアクセスを系統的に取得し、そのアクセスをランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトなど他のアクターに販売する。これにより、ランサムウェアグループは迅速に多くの被害者のネットワークにアクセスし、攻撃を開始することが可能になる。
IABは主にVPNやリモートデスクトッププロトコル(RDP)技術を利用してネットワークアクセスを提供する。暗号化されたWeb上でのアクセスタイプの約2/3はRDPとVPNアカウントであり、これにより犯罪者は直接被害者のネットワークに接続できる。Group-IBの報告によると、2021年から2022年にかけて初期アクセスのオファーは2倍以上に増加し、IABの数は約50%増加した。
組織は、従業員がフィッシング詐欺や情報窃盗ツールの展開などを通じてアクセスを提供することにより、IABとそのRaaSアフィリエイトに攻撃の起点を提供してしまうリスクに直面している。しかし、多要素認証(MFA)の要求、企業管理下のエンドポイントやネットワークからのみのサービスアクセス許可、パスワードの再利用回避の従業員への指導、ログオン試行の異常検出などの対策を講じることで、この脅威に対処することが可能である。また、暗号化されたWebやオープンWebでの従業員やビジネスパートナーの漏洩した認証情報の監視も重要である。これにより、IABがアクセスに使用する認証情報を変更またはブロックすることで、攻撃を防ぐことができる。
【ニュース解説】
ランサムウェア攻撃の脅威が増大する中、サイバー犯罪の世界では特化と効率化が進んでいます。特に、被害者のネットワークへのアクセスを提供する初期アクセスブローカー(IAB)の活動が注目されています。IABは、フィッシングやスパムキャンペーンなどを通じて組織へのアクセスを系統的に取得し、そのアクセスをランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトなど他の犯罪者に販売します。これにより、ランサムウェアグループは迅速に多くの被害者のネットワークにアクセスし、攻撃を開始することが可能になります。
IABは主にVPNやリモートデスクトッププロトコル(RDP)技術を利用してネットワークアクセスを提供します。暗号化されたWeb上でのアクセスタイプの約2/3はRDPとVPNアカウントであり、これにより犯罪者は直接被害者のネットワークに接続できます。2021年から2022年にかけて初期アクセスのオファーは2倍以上に増加し、IABの数は約50%増加しました。
組織は、従業員がフィッシング詐欺や情報窃盗ツールの展開などを通じてアクセスを提供することにより、IABとそのRaaSアフィリエイトに攻撃の起点を提供してしまうリスクに直面しています。しかし、多要素認証(MFA)の要求、企業管理下のエンドポイントやネットワークからのみのサービスアクセス許可、パスワードの再利用回避の従業員への指導、ログオン試行の異常検出などの対策を講じることで、この脅威に対処することが可能です。また、暗号化されたWebやオープンWebでの従業員やビジネスパートナーの漏洩した認証情報の監視も重要です。これにより、IABがアクセスに使用する認証情報を変更またはブロックすることで、攻撃を防ぐことができます。
このような対策を講じることで、組織はIABによる攻撃のリスクを軽減し、ランサムウェアの脅威から自身を守ることができます。しかし、サイバー犯罪の手法は日々進化しており、組織は常に警戒を怠らず、最新のセキュリティ対策を更新し続ける必要があります。
from How Can We Reduce Threats From the Initial Access Brokers Market?.
