大企業ネットワークに不正アクセスするためのリモートデスクトップのデータは2,000~4,000ドル ~ダークウェブのフォーラム投稿を分析
当社のリサーチャーが、二つのダークウェブフォーラムで企業ネットワークに不正なアクセスを行うための情報を販売する約200件の投稿を分析した結果、75%がRDP(リモートデスクトップ)アクセスに関するものでした。
[本リリースは、2022年6月15日にKasperskyが発表したプレスリリースに基づき作成したものです]
「サービスとしてのサイバー犯罪」というビジネスモデルが増え、サイバー犯罪者が攻撃を仕掛けるために必要な情報の需要が高まっています。Kasperskyのリサーチャーはこのたび、二つのダークウェブ上のフォーラムで企業ネットワークに不正なアクセスを行うための情報を販売する約200件の投稿を分析しました。その結果、最も多かった投稿(75%)は、RDP(リモートデスクトップ)アクセスの販売でした。また、大企業のネットワークへ不正アクセスするためのRDPのデータの取引価格は2,000~4,000ドルであることが判明しました。この金額は、対象となった企業が攻撃を受けた場合の被害額を想定するとそれほど高額ではありませんが、このような不正アクセスの情報を提供するサービスは、ランサムウェアを用いる攻撃者の最大の関心事にもなっています。
今回の調査の結果、ダークウェブ上では、犯罪者がサイバー攻撃によって得たデータだけでなく、攻撃を仕掛けるために必要なデータやサービスに対する高い需要があることが判明しました。攻撃者が企業のインフラへのアクセスを不正に入手し、ランサムウェアを用いた攻撃活動を行うようなほかのサイバー犯罪者にその情報を販売する可能性があります。そのようなケースでは、攻撃対象になった企業に多大な金銭的損失と風評被害をもたらし、業務の中断を余儀なくされることもあります。中小企業と大企業のいずれもがこうした攻撃の標的となり得ます。
当社のリサーチャーは、どのような企業データが主に取引されているのか、また、そのデータの価格について、サイバー犯罪者が使用している値付けの基準を明らかにするために、二つのダークウェブ上の約200件の投稿を分析しました。企業への不正アクセス情報の販売について最も多かった投稿(75%)は、リモートデスクトップ(RDP)へのアクセスでした。RDPは、リモートでホストされているデスクトップへのアクセスを提供し、企業の従業員がそのリソースへのアクセス、操作することを可能にします。
図1:アクセスタイプ別のオファー(投稿)
企業ネットワークに不正アクセスするためのデータの価格は、数百ドルから数十万ドルとかなりばらつきがありました。高価格のオファー(投稿)の主な要因は、攻撃対象の企業の潜在的な収益であり、収益が多いほど価格も高く設定されていることがわかりました。また、企業の業種や事業を行っている地域によっても変わります。
図2:企業ネットワークに不正アクセスするためのデータの価格とその企業の収益との関係
また、大企業のネットワークに不正アクセスするためのRDPのデータは、2,000~4,000ドルで販売されていました。これは比較的購入しやすい値段設定ではあるものの、上限が存在せず、収益が4億6,500万ドルの企業のデータは5万ドルで販売されていました。
図3:リモートアクセスのデータ販売例。一つのネットワークで5社にアクセス可能なデータを5万ドルで販売
企業ネットワークへの不正アクセスの価格を決める最も重要な要素は、そのアクセスを利用して攻撃を行った場合に、購入者が得ることができる金額です。ランサムウェアを使用する攻撃者が、ある企業ネットワークに侵入するための初期アクセスのデータに、数千ドル、時には数万ドルを支払う理由は、その攻撃対象の企業から何百万ドルもの身代金を得られる可能性があるためです。
ランサムウェアを使用する犯罪者は、企業データを暗号化するだけでなく窃取し、データの一部を自分たちのブログに投稿するケースもあります。主な狙いは、データを実際に窃取したことを証明することですが、指定の期限までに要求額を支払わなければさらにデータを公開すると脅迫することもあります。
Kasperskyのセキュリティエキスパート、セルゲイ・シェルベリ(Sergey Shcherbel)は次のように述べています。「サイバー犯罪者のコミュニティーは、技術面だけでなく組織の観点からも確実に進化しています。今やランサムウェアグループは、サービスや製品を販売しており、本格的な産業の様相を呈しています。私たちは、アンダーグラウンドのサイバー犯罪者たちの動向や戦術を把握するためにダークネットフォーラムを絶えず監視していますが、攻撃を仕掛けるために必要なデータの市場が拡大していることを目の当たりにしています。脅威インテリジェンスを強化しようとする企業にとって、ダークウェブ全体のソースの可視化は不可欠です。計画されている攻撃や脆弱(ぜいじゃく)性に関する議論、データ侵害が成功したケースについて、タイムリーな情報を得ることは、攻撃対象領域を減らし、適切な対策を講じることに役立ちます」
■ 当ダークマーケットの調査に関する詳細は、Securelistブログ(英語)「How much does access to corporate infrastructure cost?」でご覧いただけます。
※ 分析対象の投稿は2020年10月から2021年12月までのものです。
大企業ネットワークに不正アクセスするためのリモートデスクトップのデータは2,000~4,000ドル ~ダークウェブのフォーラム投稿を分析
Kaspersky
関連記事 ウイルスニュース
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >Kasperskyの独自調査により、企業・団体の社内開発のWebアプリケーションにはアクセス制御と機密データ保護に関する欠陥が多いことが浮き彫りに
当社が手掛けた数十件のセキュリティアセスメントのプロジェクト(2021年~2023年に実施)を対象に、社内開発のWebアプリケーションの脆弱性について調査を行った結果、大半でアクセス制御とデータ保護に関連する欠陥が見つかりました。リスクレベルの高い脆弱性で最も多かったのは、SQLインジェクションに関するものでした。詳しくはこちら >