Specops lock

イニシャル・アクセス・ブローカー(IAB)の手口について調べたことがなくても、最近のサイバー攻撃における彼らの手口については、ほぼ間違いなく読んだことがあるだろう。このような専門的なサイバー犯罪者は、企業ネットワークに侵入し、盗んだアクセス権を他の攻撃者に販売する。彼らはセキュリティ・システムをクラッキングし、その「鍵」をランサムウェア・グループや独自の攻撃を仕掛けるサイバー犯罪者に売るのだ。

IABがどのように活動しているかを理解するために、Amazon Web Services(AWS)の顧客をターゲットにした最近の事件を考えてみよう。攻撃者はAWSシステムの脆弱性を組織的にスキャンし、AWSのアクセスキーからデータベースのログイン情報まで、数千の認証情報を含む2テラバイト以上の機密データを盗み出した。

IABのビジネスモデルに忠実に、彼らはこの盗んだアクセスをテレグラムのプライベート・チャンネルを通じて販売し、他の犯罪者が侵害された組織を標的にできるようにした。

では、どうすればIABからビジネスを守ることができるのだろうか?ここでは、IABがどのように活動しているのか、なぜ彼らが他のデジタル資産よりもユーザー・クレデンシャルを重視するのか、そして組織の防御を強化するために講じるべき措置について知っておく必要があることを説明する。

IABの犯罪組織運営方法

IABは、カスタマーサービスチーム、段階的な価格設定モデル、盗まれたアクセスが機能しなかった場合の返金保証を完備し、合法的なビジネスのように運営を行っています。そして、ダークウェブ上では誰もが利用できるサービスを提供している。資金はあるが技術的な専門知識がない小規模な犯罪者にとって、IABは単独では侵入できないような高価値の企業ターゲットへの入り口を提供している。

より洗練された攻撃者、特にランサムウェアグループにとって、IABは貴重な効率アップを提供する。侵入しようとして何週間も無駄にする代わりに、保証されたアクセスを購入するだけで、すぐにマルウェアを展開したりデータを盗んだりできる。

その結果、サイバー犯罪はより効率的になる。IABはネットワークに侵入する重労働を処理し、顧客は独自の攻撃でアクセスを収益化することに集中する。

ワンストップショッピング

IABは、基本的なVPN認証情報やリモートデスクトップアクセスから、強力な管理者アカウントやクラウドサービストークンまで、あらゆるものを販売し、サイバー犯罪者にワンストップショッピングを提供する。

販売リストには通常、被害組織に関する詳細な情報(年間売上高、業種、従業員数など)が記載されており、買い手は自分の目標に最も適したターゲットを厳選することができます。

基本的なユーザーアカウントは数百ドルで売れるかもしれないが、電子メール管理者の認証情報は140,000ドルで売れるかもしれない。

Outpost24 book

IABが漏洩した認証情報を好む理由

侵害された認証情報は、IABが販売するあらゆる種類のアクセスの中で最も価値のある商品です。そして、最近の大企業での侵害は、盗まれた認証情報がいかに壊滅的な被害をもたらすかを示している。

  • 2024年後半、攻撃者はクレデンシャル・スタッフィングを使ってGeicoのオンライン見積もりツールを悪用し、11万6,000人の顧客のデータを流出させ、975万ドルの罰金を科しました。
  • 同じ時期に、ADTはわずか2ヶ月の間に2つのクレデンシャルに基づく侵害を経験した。最初は3万件の顧客記録がハッキング・フォーラムで暴露され、その後、攻撃者がビジネス・パートナーから盗んだクレデンシャルを使って社内システムに侵入し、別の侵害に見舞われた。

これらの事件は、多額のサイバーセキュリティ予算を持つ企業でさえ、漏洩したクレデンシャルから始まる攻撃の犠牲になる可能性があることを浮き彫りにしている。

クレデンシャル漏洩の大規模化

クレデンシャル漏洩の規模は驚異的です。

2024IBM Cost of a Data Breach Reportによると、クレデンシャルの盗難または漏洩はすべての侵害の19%に関与しており、これらのインシデントの特定には平均292日を要しています。また、2024年Verizon Data Breach Investigations Reportによると、すべての侵害の24%において、盗まれた認証情報が攻撃の第一線であった。

脅威インテリジェンス・ソリューションの役割

では、どうすれば組織はデータとシステムの安全を保てるのだろうか?最善の方法の1つは、脅威インテリジェンス・ツールを積極的に使用して、攻撃者に利用される前に漏洩した認証情報を特定することです。最新の脅威インテリジェンス・プラットフォームは、認証情報が取引されるダークウェブ市場、貼り付けサイト、およびアンダーグラウンド・フォーラムを継続的に監視しています。また、従業員の認証情報が新しいデータダンプに現れたり、IABによって売りに出されたりした場合はどうでしょうか。

脅威インテリジェンス・プラットフォームは、セキュリティ・チームに警告を発し、即座にパスワードのリセット、影響を受けたアカウントのロック、疑わしい活動の調査を行うことができます。

しかし、監視だけでは十分ではありません。そもそも従業員が漏洩した認証情報を使用しないよう、強固なパスワードポリシーを策定し、実施する必要があります。

Specopsパスワードポリシーのような専門ソリューションの導入をご検討ください。Specopsパスワードポリシーは、組織のActive Directoryパスワードを、40億件以上の漏洩した認証情報を含む継続的に更新されるデータベースと積極的に照合します。

Specopsのデータベースには、人間が率いる脅威インテリジェンスチームがダークウェブ上で発見した認証情報も含まれています。

ActiveDirectoryのパスワード漏えいを継続的にスキャンすることで、攻撃者が漏えいした認証情報を悪用してネットワークに侵入するのを防ぐ保護レイヤーを追加できます。

Specops Password Policy
Specopsパスワードポリシー

IABリスクの低減

IABの脅威を完全に排除するソリューションはありませんが、IABの仕組みを理解し、強固なクレデンシャル保護対策を導入することで、リスクを低減することができます。いつクレデンシャルが漏えいしたかを知るための脅威インテリジェンスと、漏えいしたクレデンシャルが使用されないようにする強固なパスワードポリシーを組み合わせて、プロアクティブなアプローチをとります。

警戒を怠らず、強固な防御を維持することで、組織はクレデンシャルベースの攻撃に対する脆弱性を減らすことができます。

漏洩した認証情報は、組織への最も簡単な侵入経路です。

Specops Password Policyを無料でお試しください。

Specops Softwareがスポンサーとなり、執筆しました。