データベース侵害は、依然として組織にとって最大のサイバー脅威です

主な判断

• Recorded Futureは、サイバー犯罪者が、侵害されたサードパーティソフトウェア、ドメインコントローラー、リモートデスクトッププロトコル(RDP)、仮想プライベートネットワーク(VPN)、インターネットルーター、WebシェルおよびPowerShell攻撃、侵害された資格情報、リモートアクセストロイの木馬(RAT)など、さまざまなTTPを使用してネットワークにアクセスしていることを観察しました。

• Recorded Futureの分析によると、ヘルスケア、教育、運輸、物流、旅行・ホスピタリティ、金融の各業界が最もターゲットとなっています。

• データベース侵害は、スパムやフィッシング、クレデンシャルスタッフィング攻撃、ソーシャルエンジニアリング、ビジネスメール詐欺(BEC)、税金詐欺、その他さまざまな種類の金融詐欺など、さまざまな方法で使用できる新しいデータの流入を地下経済に提供します。

• Recorded Futureは、漏洩したデータベースは、主に公開オークション、直接販売、またはサブスクリプションベースのサービスを通じて収益化されていることを観察しました。

背景

データベース侵害は、それ自体が攻撃であるわけではありませんが、攻撃に起因するものもあり、サイバー犯罪者がネットワークに不正アクセスした結果である場合もあります。 このアクセスにより、サイバー犯罪者は、特権の昇格、データ流出、およびその他の影響に対して大きな能力を得ることができます。 ランサムウェアのオペレーターは、侵害されたネットワーク内のデバイスを暗号化でき、ハッカーはPII、支払いデータ、PHI、企業文書、電子メールアドレス、役職と組織、ソーシャルメディアプロファイル、アカウントのユーザー名とパスワードを使用してデータベースを盗み出すことができます。 多くの場合、これらのリークは地下経済に新しいデータの流入をもたらし、さまざまな方法で使用できます。

• 流出したメールアドレスを使用したスパムやフィッシング

• 流出したメールアドレスとアカウントを使用したクレデンシャルスタッフィング攻撃

• 流出したPIIを使用した金融および税金詐欺

• 流出したPIIを使用したソーシャルエンジニアリング

• ビジネスメール詐欺(BEC)攻撃

データベース侵害の数は年々増加しています。 ノートン氏によると、2019年には3,800件の公開侵害があり、41億件の記録が流出しました。

2019年に報告された注目すべきデータベース侵害には、次のようなものがあります。

• ファースト・アメリカン・ファイナンシャル・コーポレーション:8億8500万レコード

• Facebook:5億4000万件のレコード

• Fortnite:2億レコード

• Elasticsearchクラウドストレージ:1億800万レコード

• 米国医学コレクション協会:2,000万件の記録

• Capital One:1億600万レコード

• バイオメトリクスレコード(BioStar 2):2,700万レコード

• エクアドルのデータ:2,000万レコード

• Hostinger:1,400万レコード

• DoorDash: 490 万レコード

• 検証[.]IO:8億900万レコード

脅威分析

ビジネスメール詐欺

データベース侵害やネットワークへのアクセスと密接に関連し、しばしば促進される別のTTPは、ビジネスメール詐欺(BEC)です。 この方法は、ソーシャルエンジニアリングやフィッシングの手法と似ていますが、脅威アクターは、正当な従業員や会社のマネージャーになりすまし、侵害された電子メールアカウントへのアクセスを使用したり、侵害されたデータベースから取得したアドレスを偽装したりして、企業を侵害しようとします。 多くの場合、被害者は、正当な電子メールアドレスを使用しているため、実際の従業員と連絡を取っていると信じており、企業の機密情報を漏らしたり、サイバー犯罪者が管理するアカウントへの電信送金を開始したりします。

FBIのインターネット犯罪苦情センター(IC3)によると、2017年2月27日現在、「BEC詐欺は拡大し続け、進化し、あらゆる規模の企業を標的にしています」。さらに、2015年1月以降、「特定されたエクスポージャー損失は1,300%増加し、現在では合計30億ドルを超えている」と指摘しています。

昨年、ダークウェブで確認されたBECサイバー攻撃。 (出典:Recorded Future)

BECは、 ロマンス詐欺や個人からお金を盗むことを目的とした退職金口座詐欺などの他のTTPと組み合わせて行われることが多く、時には数百万ドルにも及ぶこともあります。

侵害と販売、ステップバイステップ

これまで、ほとんどの脅威アクターは、データベースやその他の貴重な情報を抽出するために、企業のネットワークをハッキングする必要がありました。 現在、ハッキングや流出の多くは、アクセスを取得することを専門とする脅威アクターによってすでに行われており、この情報はダークウェブのフォーラムや市場で販売されたり、時には無料で提供されたりしています。 このネットワークへのアクセスは、多くの場合、企業データベースをハッキングするための最初のステップであり、PIIやPHI(個人健康情報)の盗難からランサムウェア攻撃、企業スパイまで、あらゆるものが関与するサイバー犯罪活動の多くの鍵となるのは、アクセスを取得することを専門とする高レベルの脅威アクターである可能性が高いです。 これらの犯罪者は、多くの場合、小さなチームで作業し、会社のネットワークへのアクセスを取得してからダークウェブで販売するまでの全プロセスを実行できます。 以下のサブセクションでは、このプロセスについて詳しく説明します。

1. 侵害されたネットワークへのアクセスの販売

2. データベースの販売

3. 空きデータベースのダンプ

4. サブスクリプション型サービスによる新規データベースおよび複合データベースの販売

1. 侵害されたネットワークへのアクセスの販売

政府、企業、教育機関、その他の機関の侵害されたネットワークへのアクセスの販売は、アクセスあたりの価格が数百ドルから数千ドルまでさまざまで、非常に収益性の高いビジネスになる可能性があります。 サイバー犯罪者は、侵害されたサードパーティソフトウェア、リモートデスクトッププロトコル、仮想プライベートネットワーク、インターネットルーター、Webシェル攻撃やPowerShell攻撃の実行、リモートアクセストロイの木馬の使用など、さまざまな方法を使用してネットワークにアクセスします。

ダークウェブのソースを分析した結果、サイバー犯罪者は主に以下の業界の組織を標的にしていることがわかりました。

• ヘルスケア(病院・診療所)
• 加工
• 運輸・物流(航空会社・物流会社、空港)
• 旅行・ホスピタリティ(ホテル、旅行代理店・サービス、旅行メタ検索エンジン)
• 教育(大学およびカレッジ)
• 政府(米国の州および市の行政機関、警察署、地域の医療当局、選挙委員会、国際政府機関、および組織)
• 金融および電子商取引(会計および保険会社、銀行、電子商取引組織)
• 法律(法律事務所)

被害者は、機会を狙うターゲット、脆弱性を持つ組織、医療機関、政府、教育機関などのPIIやPHIなどの特に豊富な分野を提供するセクター、または金融や電子商取引セクターなどの財務情報をターゲットとしているセクターの組み合わせです。

オークションによる販売

ダークウェブリソースで固定費で販売されている他の製品やサービスとは異なり、リストされている侵害されたデータの多くは、通常、オークションを通じて販売されています。 オークションは、参加者(脅威アクター)が妥当と考える価格を提供するダークウェブフォーラムで販売を行うための公正でオープンなメカニズムと見なされています。 たとえば、ダークウェブのトップレベルのフォーラムには、すべてのメンバーが従わなければならない厳しい要件があります。

• 売り手は、オークションにかけられた製品またはサービスを購入した場合、それを販売する必要があります(取引から取り消すことはできません)

• 売り手は、オークションに参加せずに製品またはサービスを直接購入できる開始価格、入札ステップ、および最高入札額を発表します

• 価格を提示する買い手は、オークションにかけられた製品またはサービスを購入する必要があります

• 売り手と買い手は、エスクローサービスを使用して取引を完了します

• 売り手がエスクローサービスの使用を拒否した場合、フォーラムから禁止される可能性があります

ダークウェブフォーラムでのアクセス侵害販売の別のタイプは、上記の制限がなく、通常は買い手と売り手の間のプライベートな交渉である直接販売です。 直接販売の主な利点は、高度なプライバシーとセキュリティです(安全な通信方法を通じて、第三者の保証人なしで行うことができます)。

エスクローサービスによる販売

オークションに加えて、トップティアおよびミッドティアのフォーラムの大部分は、第三者(脅威アクターまたは自動化システム)が詐欺を防ぐために売り手と買い手の間の合意に従ってお金を受け取り、支払う普遍的なセキュリティメカニズムであるエスクローサービスもメンバーに提供しています。 ダークウェブ上のオークションには、エスクローサービスを使用するオークションには、通常オークションと自動オークションの2種類があります。

定期的なエスクローサービス

原則として、この機能は、保証人として機能する1人または2人の評判の良い脅威アクターまたはフォーラムのスタッフによって実行されます。 彼らのユーザー名と連絡先は、通常、フォーラムの「ルール」または「エスクロー」セクションに記載されています。 次のものを提供する必要があります。

• 販売者: ユーザー名と Jabber アカウント

• 購入者:ユーザー名とJabberアカウント

• 製品またはサービスの詳細な説明、技術仕様などを含む取引の対象

• エスクロー手数料を含む、米ドルとビットコインでの取引の正確な金額(通常、手数料は上場価格の3〜10%ですが、20米ドル以上で、保証人に支払われます)

• 商品またはサービスの配送および確認に関する条件

• 取引の追加条件(必要な場合)

自動(自動)エスクローサービス

このタイプのエスクローサービスは、多くのサイバー犯罪フォーラムの特別なセクションであり、脅威アクターが最小限のリスクで24時間年中無休で取引を行うことを可能にし、サービス手数料を請求しません。 ルールはフォーラムごとに異なる場合がありますが、オークションの主な手順は次のとおりです。

• メンバーは、取引のすべての条件を非公開で交渉します。

• 買い手は、「自動エスクローサービス」または「エスクローサービス」というタイトルのセクションにスレッドを作成し、潜在的な売り手をタグ付けし、取引のすべての条件の概要を説明します。 このスレッドは、取引の当事者とフォーラムの管理者にのみ表示されます。 一部のフォーラムでは、パスワードを使用してエスクロースレッドを保護しています。 この場合、買い手は売り手にそれを提供して、スレッドにアクセスできるようにする必要があります。

• 買い手は、支払う予定の取引の合計額を指定し、スレッドを節約します。

• 取引の2番目の参加者は、提示された金額を確認し、この情報を保存します。

• 買い手は売り手の確認を確認し、最終的な金額を承認します。

• エスクローシステムは取引を受け入れ、フォーラムの代表者が売り手から製品を受け取ったときにのみ終了します。 販売者には、フォーラムのプライベートメッセージで支払いの受け取りについて自動的に通知されます。

• 自動エスクローサービスにより、当事者は資金を送金および補充することができます。

2. データベースの販売

データベース侵害は、ダークウェブソースの脅威アクター間で販売または共有されています。 脅威アクターは、これらのデータベースでよく見られるユーザー名とパスワードの組み合わせを使用して、一般的なオンラインサービスに対するクレデンシャルスタッフィング攻撃を行います。

原則として、サイバー犯罪者は侵害をすぐに発表せず、アクセスを収益化するための最良の方法を確立しようとしながら、ダークウェブでデータを販売するのに数か月待つこともあります。 侵害されたデータベースの多くは、全体ではなく一部で販売されています:たとえば、販売にはメールアドレスとパスワード、財務情報、PIIなどの組み合わせが含まれる場合がありますが、すべての情報が含まれているわけではありません。 実際にネットワークを侵害するすべての脅威アクターが、必ずしもその売り手であるとは限りません。 サイバー犯罪者は、セキュリティ上の理由から、複数の名前を使用したり、グループ内で活動したりして、侵害との関連性を難読化する戦略を使用します。 さらに、データベースへのアクセスは、標的となった企業のハッキングに直接関与していない個人によって販売されることが多く、代わりに主にプロキシとして働いています。

3. 無料データベースのダンピング

Recorded Futureは、ダークウェブフォーラムでアクセスとデータベースが販売されていることに加えて、ダークウェブのいくつかのフォーラムで公開されている複数の漏洩データベースも観察しています。

たとえば、ダークウェブ上のフォーラムの作成者兼管理者である悪名高い脅威アクターは、2017年から2018年にかけて取得した米国のさまざまな州の有権者データベースを公開し始めました。これには、有権者ID、氏名、住所、以前の住所、生年月日、性別、電話番号、投票者のステータス、投票者の履歴が含まれていました。 約20の州のデータベースが共有され、各州には数十万から数百万の一意のレコードが含まれていました。

4. サブスクリプション型サービスによる新規データベースおよび複合データベースの販売

4. サブスクリプション型サービスによる新規データベースおよび複合データベースの販売

一部の脅威アクターは、さまざまなアンダーグラウンドプラットフォーム、ファイル共有プラットフォーム、およびその他の利用可能なサービスで漏洩したデータベースを購入して収集し、サイバー犯罪者が暗号化されたものと暗号化されていないものの両方で保存された複合漏洩データベースを見つけることができるサブスクリプションベースのサービスを整理します。 これらのサービスは、データベースを頻繁に更新し、定期的およびプレミアムの階層型メンバーシッププランがあり、Telegramを介してカスタマーサービスも提供しています。 そのようなサービスの1つは、最初の月は64米ドル、その後の月は37ドルで利用可能でした。

ネットワーク侵害の軽減手法

Recorded Futureは、組織のWebサイトやネットワークを標的とした脆弱性の悪用から保護し、データベース侵害を引き起こすために、次の対策を推奨しています。

• すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、アプリケーション、およびコア システム ユーティリティです。

• 電子メールの通信をスパムにフィルタリングし、リンクと添付ファイルにアクセスする前に精査します。悪意のある添付ファイルの監視 (使用可能な場合) がオンになっていることを確認します。

• システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。

• 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、(デバイスやフィッシングによるアカウントの乗っ取りを通じて)どのデータにアクセスできるかを調べます。 ユーザーのアクセス制御を確認し、従業員がリソースにアクセスするビジネスニーズがあることを確認します。

• 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。

• ベンダーのセキュリティを監視したり、サードパーティのテクノロジーを使用して転嫁される可能性のあるリスクを評価したりします。

• 保存されたデータベースにデータ暗号化標準を適用して、組織の内部ネットワークに不正にアクセスすることができた個人がデータベースを悪意を持って使用しないように保護します。

• 従業員アカウントについて、利用可能なデータベースまたはアカウントショップを監視します。

BEC緩和技術

FBIによると、これらの手順により、BEC攻撃によって侵害されるリスクが軽減されます。

• 侵入検知システムルールを作成して、会社のメールに似た拡張子を持つメールにフラグを設定します。

• 「返信」メールアドレスが「差出人」メールアドレスと異なるメール通信にフラグを設定するメールルールを作成します。

• 色分けを使用し、件名の先頭にタグを付けて、従業員/内部アカウントからのメールと従業員/外部アカウント以外のアカウントからのメールを識別するのに役立つタグを区別します。

• SMSまたはGoogle Authenticator、Duo Mobile、FreeOTP、Authy、Microsoft Authenticatorなどの認証アプリケーションを介して2要素認証を有効にし、デバイスに安全にアクセスします。

• 2要素認証の一部として電話認証を使用して、資金移動のリクエストを確認します。電子メールのリクエストに記載されている番号ではなく、会社のWebサイトや以前の請求または通信など、他のソースから番号を確認してください。

• Recorded Futureは、BEC詐欺を防ぐために、次の異常な電子メールリクエストに特に注意を払うことをお勧めします。

• 通常の通信チャネルをバイパスし、送金やドキュメントや情報へのアクセスなどの即時アクションを要求する要求。

• 上級管理職は、特に直属の部下ではない従業員に対して、通常とは異なる要求を送信します。

• 言語、文法、または形式の問題により、電子メールのエラー、タイプミス、および形式の欠陥が明らかになります。

• 受信者が電子メールの内容を他のユーザーに伝えないように要求します。

今後の展望

データ侵害は、組織の評判と財務の安定性に壊滅的な影響を与える可能性があり、侵害の結果として取得した情報とアクセスを使用して、さらなる悪意のある活動を促進する可能性があります。 データベース侵害の売却とそれに伴う情報の漏洩は、当面の間、主要なサイバー脅威の1つであり続けるでしょう。 侵害を専門とする高度な脅威アクターによるアクセスの販売は、BEC、脱税、フィッシング、ランサムウェアなど、関連する悪意のある活動を促進します。

Recorded Futureは、最も脆弱な業界と、このコモディティ化された活動の多くに関与している脅威アクターのリストを特定し、このレポートで概説されている緩和手法の実装を推奨しています。 さらに、エンティティは、ダークウェブオークション、ダークウェブフォーラムやマーケットプレイスでの販売スレッド、およびアンダーグラウンドのサブスクリプションベースのサービスを監視することにより、これらの脅威アクターのスレッド、投稿、および提供物を綿密に追跡することを強くお勧めします。