>
ブログ

脅威インテリジェンスによるダークウェブ調査の改善

投稿: 2024年4月10日
作成者 : サム・ラングロック、ドミトリー・スミリャネッツ

機密データの保護、ブランドの評判の維持、顧客の信頼の醸成は、企業組織にとって継続的な課題となっています。 しかし、インターネットの隠れた一角であるダークウェブは、サイバーセキュリティの専門家に独特の課題を提起しています。 盗まれた認証情報の販売や標的型攻撃の計画などの犯罪活動は、インターネットのこの「ダーク」セクションで盛んに行われています。

このブログ記事では、ダークウェブで発生する脅威の一部と、外部 の脅威インテリジェンスソリューション によって組織がプロアクティブに防御できるようにする方法について解説します。

2000年代初頭に登場して以来、ダークウェブは違法行為のハブに進化しました。 ハッキング方法や侵害された資格情報の取引、マルウェアやランサムウェアの配布を容易にします。 また、脅威アクターは日々、新しい脆弱性やエクスプロイトを発見し、共有し、対処するなど、常に進化しています。

ダークウェブの初期段階では、秘密のフォーラムやファイル共有プラットフォームが繁栄し、RedditやEtsyの影のバージョンに似ていました。 悪名高いシルクロードは、 本のアメリカンキングピンで広く詳述されており、ビットコインのような暗号通貨の出現は、ダークウェブを形成する上で極めて重要であり、「ダークeBay」に似た洗練された地下市場を生み出しました。

LockBitやALPHVのような悪名高いランサムウェアグループは、ダークウェブプラットフォームで活動しており、自分たちの行動を自分の手柄にし、標的を明らかにしています。 さらに、Telegramは、悪意のあるコンテンツのコミュニケーションから調整、配布まで、さまざまな活動を促進および可能にする、秘密主義のエンゲージメントのための好まれるプラットフォームとして浮上しています。

ダークウェブ上での会話、情報共有、取引に起因する攻撃は、世界中の組織に財務、運用、評判の損失をもたらしています。 しかし、ダークウェブの監視機能を向上させることで、組織はビジネス、顧客、サプライチェーンに対する脅威を積極的に軽減することができます。

ダークウェブは組織にどのような影響を与えますか?

ダークウェブ自体はほとんどの組織にとってそれほど危険ではありませんが、そこで起こっていることは防御者の興味をそそるはずです。 ダークウェブは、ランサムウェアグループが活動し、悪意のある人物がマルウェア、 侵害された資格情報、エクスプロイトキット、盗まれた支払いカードを販売および交換するためのプラットフォームを提供します。

ランサムウェア

ダークウェブはランサムウェアグループの巣窟としてよく知られており、2023年も組織に大打撃を与え続けました。 昨年、ランサムウェアの支払い額は11億ドルに膨れ上がり(The Record)、 Delineaのレポートによると、被害者の76%が身代金を支払っています。 ダークウェブは、ランサムウェアグループが通信し、協力し、違法行為を行うための安全で匿名の環境を提供します。

資格 情報

ダークウェブのマーケットやフォーラムは、有効な認証情報を売買しようとする初期アクセスブローカーや脅威アクターにとって人気の場所です。 有効な認証情報は脅威アクターにとって非常に人気があり、MITRE ATT&CKの初期アクセスベクトルでは、 Recorded FutureIBM X-Forceの両方で、有効なアカウント(T1078)がトップのTTPでした。

Recorded Futureの研究者は、 Identity Intelligence モジュールからの情報を使用して、収集された認証情報の総数が135%増加し、Cookieに関連する認証情報が 166% 増加したことを発見しました。 さらに、IBMの研究者は、インフォスティーラーの使用が 266%急増していることを発見しました 。 適切なアクセスと連絡先があれば、有効な認証情報をわずか10ドルで購入し、企業ネットワークや個人アカウントにログインしたり、多要素認証制御を回避したり、侵入を開始したりすることができます。

DarkWebBlogPost_Identity.webpの Recorded Futureの Identity Intelligence モジュールは、インフォスティーラーマルウェアによって盗まれた従業員や顧客の資格情報から組織が防御するのに役立ちます。 Toyota Motors North America が認証情報の侵害からどのように防御しているかIdentity Intelligence のインタラクティブ ツアーをご覧ください

エクスプロイトキット

料理の初心者がミールキットを購入するのと同様に、スキルの低い脅威アクターはダークウェブでエクスプロイトキットを購入できます。 ダークウェブのエクスプロイトキットは、 人気がわずかに低下しているにもかかわらず、サイバー犯罪者がソフトウェアやシステムの脆弱性を悪用するために使用する、あらかじめパッケージ化されたツールやフレームワークです。 これらのキットにより、脅威アクターは攻撃を仕掛け、標的のシステムに不正アクセスすることが容易になります。 多くの場合、サイバー犯罪者が高度な技術スキルを必要とせずに脆弱性を悪用するための便利なゲートウェイを提供します。

支払いカード

2022年、盗まれたクレジットカードのダークウェブ市場は減速しているように見えました。 しかし、2023年には供給が以前の水準に戻りました。 Recorded Futureの 2023年年次決済詐欺インテリジェンスレポート によると、2023年には7,140万枚の決済カードがダークウェブ上に掲載され、さらに4,800万枚がさまざまなソースに無料で掲載されました。 詐欺の請求額の中央値は79ドルで、カード発行会社には94億ドルの予防可能な詐欺損失が発生し、加盟店とアクワイアラーには350億ドルの潜在的なチャージバック手数料が発生しました。

Recorded Futureは、ダークウェブで発生した脅威をどのように修復しますか?

ランサムウェア恐喝ウェブサイト

脅威アクターは、ランサムウェアの恐喝Webサイトを使用して、被害者のファイルを漏洩すると脅迫します。 これらのファイルには、多くの場合、ネットワークの詳細、財務情報とドキュメント、PII、従業員またはクライアントの資格情報、および被害者が身代金を支払う動機となるその他の機密情報が含まれています。 被害者が譲歩するのは、通常、データを削除するという約束に基づいて譲歩しますが、 Lockbit では必ずしもそうではないことがわかりました。 一方、支払いをしない被害者は、恐喝サイトに追加のデータ漏洩が投稿される可能性があります。

Recorded Futureは長年にわたり、ランサムウェアの恐喝Webサイトから情報を収集し、分析し、実用的なインテリジェンスに変換して、組織が ランサムウェア攻撃の影響を積極的に軽減できるように支援してきました。 現在、Recorded Futureは、100を超えるランサムウェア恐喝Webサイトのテキスト投稿、画像、および漏洩したファイルメタデータから情報を収集しています。

ランサムウェアの被害者のメタデータに含まれる情報は、ランサムウェア攻撃の直接的または間接的な被害者となる可能性のある企業や組織を特定するのに役立ちます。 漏洩したファイルメタデータへのアクセスにより、組織は、自社だけでなく、関連する第三者や第4者に影響を与える可能性のあるデータ漏洩の可能性について、リードを調査できます。

FI Blog_Image 1.webp Recorded Futureのランサムウェア被害者メタデータ分析の画像で、ランサムウェアインシデントの被害者になる可能性が最も高い組織(直接的または間接的)を特定するのに役立ちます。

ダークウェブマーケット

オープンウェブ上の電子商取引サイトとは異なり、Russian Market、2Easyなどのダークウェブ市場は、侵害された資格情報、PII、盗まれたクレジットカードを販売して財を成しています。 脅威アクターは、この情報を使用して、従業員のアカウントにアクセスしたり、パーソナライズされた スピアフィッシングキャンペーンを作成したり、不正な取引を行ったりする可能性があります。

Recorded Futureは、多くのダークウェブ市場から情報を収集し、組織が販売するアイテムから生じるリスクを軽減するのを支援します。 たとえば、ダークウェブ市場で販売されている 盗難クレジットカード情報を特定する ことで、カード発行会社は、詐欺に使用されるリスクの高いカードに対して高度な管理を配置できます。 カードが販売されたり、既知の「テスター加盟店」との取引で使用されているなどの追加のシグナルにより、イシュアーは、カードの今後の取引をブロックしたり、顧客に新しいカードを発行したりするプロアクティブなアクションを取ることができます。

北米の大手 金融機関によると、「Recorded Futureがダークウェブ上に存在している、または既知のテスター加盟店で使用されていると特定した顧客カードで取引が行われた場合、ほとんどの場合、その取引は実際には不正です」とのことです。

ダークウェブブログ - 画像2.webp Recorded Future Payment Fraud Intelligenceは、ダークウェブで販売されている侵害された支払いカードを検出し、金融機関が詐欺を防止するための積極的なアプローチを取ることを可能にします。

ダークウェブフォーラム

ダークウェブフォーラムは、脅威アクター、何かを売る者、より高度なツールを探している低スキルのサイバー犯罪者との間で会話を始める場所であることがよくあります。 脅威アクターは、情報、技術、ツールを交換して、ハッキングスキルを向上させ、サイバー犯罪の最新トレンドを常に把握することができます。 ダークウェブフォーラムを使用して、マルウェアの配布、フィッシングキャンペーンの開始、ランサムウェア攻撃への参加などのサイバー犯罪活動を実行するアフィリエイトを募集する人もいます。

ダークウェブ市場と同様に、ダークウェブフォーラムは、脅威アクターが侵害された資格情報、個人データ、財務詳細、およびその他の貴重な情報を販売できる市場としても機能します。 また、ハッキングツール、エクスプロイトキット、 リモートアクセストロイの木馬(RAT)、およびシステムやネットワークを侵害するために使用される可能性のあるその他の悪意のあるソフトウェアの取引を促進することもできます。

Recorded Futureは、250を超えるトップティアおよびミディアムティアのダークウェブフォーラムソースから情報を収集し、組織に実用的な情報を提供します。 情報には、脅威アクターが組織のブランドやサプライチェーンパートナーに言及しているかどうか、新しい脆弱性が参照されているかどうか、特定のフォーラムを利用していることが知られている脅威アクターが含まれます。

ダークウェブ上での企業や製品に関する頻繁な言及は、しばしば相関しており、差し迫った攻撃、企業の資産や口座の違法な売却、またはより複雑な詐欺スキームの可能性を示しています。

ダークウェブモニタリングは、この制限された環境を可視化し、クライアントが組織、サプライヤー、または使用するソフトウェア製品に影響を与える可能性のあるサイバー犯罪キャンペーンの一歩先を行くのに役立ちます。

電報

2012年の誕生以来、多目的チャットアプリケーションであるTelegramは、アンダーグラウンドのサイバー犯罪コミュニティの間で急速に人気を博しています。 Telegram のセキュリティ、多数のチャット オプション、および利便性が、その人気の高まりにつながっています。 Telegramの信頼性に匹敵するダークウェブ市場はほとんどありません。

一部の専門家によると、大規模で高度に役割に特化した犯罪活動の未来は、Telegramと将来の代替手段で行われるとのことです。 現在、サイバー犯罪者はTelegramグループを使用して、違法な商品の取引を行ったり、関連するインターネットフォーラムからの発表を投稿したり、仲間の犯罪者と連絡を取ったりしています。

Recorded Futureは、組織が自社ブランド、関連する第三者、その他の注目すべき組織に関するTelegram上のサイバー関連の会話を理解するのに役立ちます。 脅威アクターは、計画的な攻撃の報告、情報交換、調査結果の共有など、Telegram上で自分の活動について話し合うことが多いため、可視性により、組織は脅威に対抗し、予期せぬリスクに対するレジリエンスを構築することができます。

Recorded Futureは、あるクライアントがTelegramチャネルで公開された資格情報を検出するのに役立ち、脅威を特定し、リスクの修復の緊急性を高めることができました。 金融サービス業界の別のクライアントは、Recorded Futureの光学式文字認識(OCR)機能を通じて、Telegramチャネルの不正な小切手を特定することができました。 アナリストは、小切手が現金化されるのを防ぐために、インシデントを社内の不正管理チームに報告しました。

Recorded Futureがダークウェブの脅威を軽減する方法

脅威アクターは、長い間、ダークWebサイトやフォーラムを使用して匿名性を保ち、ターゲットに対して優位に立とうとしてきました。 これはすぐには変わらないでしょう。 この課題に対処するために、組織はダークウェブの深い部分を積極的に可視化し、脅威を確実に軽減できるようにする必要があります。 セキュリティの実務家やリーダーを支援するために、Recorded Futureは、アラート、プレイブック、人間がキュレーションしたインテリジェンスレポートを通じて配信できる、幅広いダークウェブチャネルにわたる広範なインテリジェンスを提供します。

アラート通知

タイムリーなアラートがなければ、インテリジェンスは情報の集まりになってしまいます。 多くのクライアントにとって、外部 の脅威インテリジェンス とリスク要因に基づいてアラートに優先順位を付ける機能は、セキュリティ運用とリスク管理を改善するために非常に重要です。 さまざまなアラート ルールを作成し、通知を管理する機能により、ユーザーは関連性のあるタイムリーなアラートを確実に受信できます。 さらに、Recorded Future AI Insights と透明性のある証拠により、ユーザーはアラートの重大度と取るべきアクションを迅速に判断できます。

DarkWebBlogPost_AI.webpの 記録されたFuture AI Insightsは、自動化された実用的なコンテキストを提供することで、組織が調査時間を短縮するのに役立ちます。 上記の例は、RedLine Stealer の AI Insights を示しています。 Recorded Future AI Insights の最近の更新の詳細については、 このブログ記事をご覧ください。

Recorded Futureのあるクライアントは、ディープダークウェブ上で自分の組織のブランドや資格情報について言及した場合、自動レポートを設定することが有益であると感じています。 Recorded Futureによって生成されたアラートにより、組織のアナリストは同じクエリを何度も作成して実行する必要がなくなり、より戦略的なタスクに集中する時間を確保できます。

プレイブックアラート

ダークウェブで脅威が見つかった場合、防御側は情報を迅速に抽出し、アラートをトリアージし、アクションまでの時間を短縮する方法が必要です。Recorded Futureのプレイブックアラートは、調査の大きなフェーズを自動化し、リスクの変化についてユーザーに最新情報を提供し、評決を作成し、推奨される次のステップを提供することで、防御者を支援します。 さらに、プレイブックのアラートは、重大度とリスクに基づいて自動的に優先順位が付けられるため、組織はどこに重点を置くべきかを把握できます。

クライアントは、新しい脅威の特定が以前よりも 48%速く なったと報告しており、プレイブックアラートは平均検出時間(MTTD)と平均調査時間(MTTI)を短縮するための重要な要素となっています。 これらのアラートは、影響の大きいサードパーティのサイバーイベントに有益であることが証明されており、組織がランサムウェア恐喝Webサイトへの最近の注目、インフォスティーラーマルウェアによって侵害された資格情報、技術スタックに影響を与える可能性のある脆弱性に関するチャットの悪用などの問題を特定するのに役立ちます。

インテリジェンスがタイムリーでなく、実行可能でもないとき、それはすぐに古いニュースになります。 今日の複雑な脅威エコシステムを乗り切るために、組織はダークウェブとクローズドソースに対する積極的なインサイトを必要としており、組織、パートナー、または業界に対する脅威を監視するのに役立ちます。 ダークウェブソースからのタイムリーで実用的なインテリジェンスの膨大なコレクションにより、Recorded Futureは、予期せぬ脅威に対するレジリエンスを構築するための抽出された情報を防御者に提供します。

Recorded Futureが組織のダークウェブの可視性をどのように向上させるかを確認するには、 デモをリクエストしてください

関連