※ 本ブログは、2022年7月21日にHP WOLF SECURITY BLOGにポストされたThe Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Backの日本語訳です。

• サイバー犯罪の商品とサービスは安価で豊富である：マルウェアの広告の4分の3以上（76％）、エクスプロイトの広告の91％が10ドル未満で掲載されています。漏洩したリモート・デスクトップ・プロトコル認証情報の平均コストは、わずか5ドルです。ベンダーは、「プラグ&プレイ」マルウェアキット、Malware as a Service（サービスとしてのマルウェア）、チュートリアル、助言サービスなどを製品にバンドルして販売しているため、攻撃を行うための技術的スキルや経験の必要性が低くなっています 。 実際、今日の脅威アクターが高度なプログラマーであることはほとんどありません。
• 窃盗犯の「名誉」という皮肉：正規のオンライン販売の世界と同様、サイバー犯罪の商取引は、バイヤーとセラーの間を信頼が支えています。分析したサイバー犯罪者向けマーケットプレイスの77%は、ベンダーボンド（販売許可証）を要求しており、その費用は最大で3,000ドルにも上ります。これらのマーケットプレイスの85%はエスクロー決済を採用しており、92%はトラブル解決サービスを提供しています。分析したすべてのマーケットプレイスでは、ベンダーのフィードバックスコアを提供しています。ダークウェブのサイトの平均寿命が55日間であることが示すように、法執行機関による撤去や ライバル企業による妨害のリスクがあるため、サイバー犯罪者はマーケットプレイス間で評判を移転することで一歩先を行くことができるのです。
• 人気のあるソフトウェアの脆弱性がサイバー犯罪者の足がかりになっている： サイバー犯罪者は、人気のあるソフトウェアの既知のバグを悪用してシステムの足がかりをつかみ、コントロールすることに注力しています。例えば、Windows OS、Microsoft Office、Web コンテンツ管理システム、Web サーバーやメールサーバーなどが挙げられます。特殊なシステムのニッチなエクスプロイトは、市場でより高い価格（通常＄1,000～＄4,000）で取引されています。ゼロデイ（まだ一般に知られていない脆弱性）は、市場では数万ドルで取引されていますが、ハイエンドのエクスプロイトの取引の多くは、「見えないネット」上のプライベートチャネルで行われています。

このレポートは、専門家パネルを通じて、今後5年から10年の間にサイバー犯罪がどのように進化し、組織がどのような脅威に備えるべきかを考察しています。

• 破壊型攻撃の被害がさらに拡大する可能性：組織がDXやIoTを取り入れると、攻撃者がこれらが生み出すアタックサーフェスを利用する可能性が高くなります。IoTデバイスに依存するセクター、特に止められない非常に重要なインフラに依存するセクターに対して、データ破壊の脅威を利用した恐喝攻撃が増加する可能性があります。
• 侵入はプロフェッショナル化しターゲットを絞る ： サイバー犯罪者は、侵入の価値を最大化するために、ターゲットの偵察に時間をかけ、ネットワーク内で長期的なアクセスを確立するといった、APTの戦術を引き続き採用すると考えられます。
• 武器にも盾にもなる先端テクノロジー ：Web3 のような現在開発途上にあるテクノロジーがサイバー犯罪経済を支える評判システムを構築する新しい機会を開き、当局による排除が困難になる可能性があります。量子コンピューティングは、暗号解読作業を加速させるために導入される可能性があります。
• 攻撃者は攻撃の効率化に注力する：サイバー犯罪が反復可能で手続き的なステップに集約されるにつれ、自動化と効率化の機会が生まれます。例えば、被害者のアドレス帳から標的を選択したり、過去のコミュニケーションに基づいて説得力のあるスピアフィッシング攻撃を構築するなど、サイバー犯罪者はAIを利用して侵入後の活動を自動化する可能性があります。

このレポートには、拡大するサイバー犯罪から身を守るために組織が取るべき方法が詳しく書かれています。従業員にとっては、サイバーに対する意識を高めることが重要です。組織にとっては、基本をマスターし、レジリエンスのための計画を立て、コラボレーションによりリスクを低減することに注力する必要があります。多要素認証、IT資産の検出と管理、脆弱性管理などのベストプラクティスに従って基本を習得することは、組織のアタックサーフェスを最小限に抑えることに大きく貢献します。これは攻撃を検知、予防、復旧するための人材、プロセス、テクノロジーを整備することにより、万が一の侵害に備えたレジリエンスを向上させることにもつながります。また、これは最悪のシナリオを想定し、サプライチェーンと内部者のリスクを抑えるプロセスを導入し、インシデント・レスポンス計画を実践することを意味します。さらに、組織は、EメールやWebのようによく利用される攻撃経路を遮断する必要があります。これらは、脅威の封じ込めや隔離などのテクノロジーによって無力化できる可能性があります。最後に、セキュリティはチームスポーツであることを忘れないでください。同業者と協力し、第三者によるセキュリティ評価や侵入テストに投資し、脅威インテリジェンスを収集・共有して、今何が起きているのか、何が待ち構えているのかを見極めましょう。

本レポートは以下の調査結果に基づいています。

1. HP Wolf Securityが委託して、ダークウェブ調査会社Forensic Pathwaysが実施した独自調査。同社は、Torネットワーク上のコンテンツを監視する自動クローラーを使用してダークウェブマーケットプレイスのリストを収集しました。同社のダークサーチエンジン・ツールには、3,500万以上のURLのスクレイピングデータがインデックスされています。収集されたデータは、Forensic Pathwayのアナリストによって調査、検証されました。このレポートでは、5,502のフォーラムと6,529のマーケットプレイスを含む、ダークウェブ全体の約33,000のアクティブなウェブサイトを分析しました。2022年2月から4月にかけて、Forensic Pathwaysは、Torネットワーク全体で最近アクティブになった17のサイバー犯罪マーケットプレイス、Torネットワークとウェブを横断する16のハッキングフォーラムとそのデータを含む関連リストを特定しました。
2. また、HP Wolf Securityの脅威テレメトリーや、Contiランサムウェアグループの流出した通信に関する調査も含まれています。
3. 以下のサイバーセキュリティの専門家パネルへのインタビューと寄稿も含まれます。

Author : HP WOLF SECURITY