Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?

Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities

2021/11/16 DailySwig — 脅威情報企業の Digital Shadows によると、サイバー犯罪者たちは、ゼロデイ脆弱性を販売するだけではなく、Exploit-as-a-Service モデルの可能性を検討し始めているようだ。このモデルは、ゼロデイ脆弱性を他のサイバー犯罪者に貸し出し、サイバー攻撃の実行を可能にするものであり、マルウェア開発者たちが採用している、Ransomware-as-a-Service のアフィリエイト・モデルに似たものとなる。

ゼロデイ脆弱性は、サイバー犯罪フォーラムなどのグレーゾーンのベンダー・サイトで宣伝されている、最も高値で取引される欠陥である。Digital Shadows は、ダークウェブ・フォーラムを介した脆弱性販売を調査の中で、ゼロデイの価格は $10 million に達すると、サイバー犯罪者たちが話しているのを目撃している。

別のゼロデイと別の収入源

致命的な影響を与えこともあるゼロデイ脆弱性を販売することで、大きな利益を得ることが可能であるが、販売の交渉は複雑かつ危険なビジネスになる。Digital Shadows によると、リース・モデルを利用するゼロデイ開発者は、最終的な買い手を待つ間に脆弱性を貸し出すことで、多額の収益を得られる可能性があるという。

貸し出される側は、提案されたゼロデイをテストした後に、対象となるエクスプロイトを独占的/非独占的に購入することを決定できる。しかし、どのようにすれば、自分たちが対象となるゼロデイの唯一の所有者であり続けられるのだろうか?

Digital Shadows が Daily Swig に語ったところによると、PoC をリースしようとするエクスプロイト開発者には、2つの選択肢があるという。1つ目は、購入者が発見できないようにコードを難読化することだ。2つ目は、政府機関のためにテクノロジー企業が開発したものと同様に、エクスプロイトを Click-and-Shoot ツールとして開発することだ。Digital Shadows の説明によると、どちらのアプローチもエクスプロイト・ブローカーにとって大きな課題となる。

1つ目の方法は、PoC 開発者にとっては利益率が上がるかもしれない。しかし、この方法では、十分な動機とリソースを持った購入者にとって、コードを難読化する余地が間違いなく残ってしまう。

2つ目の方法では、エクスプロイト開発者の管理下で、購入者が未加工のエクスプロイトを起動するためのツールが必要になる。したがって、そのインフラを開発するために、多大な時間とリソースが必要になる。難読化を影響し難いとはいえ、この種のツールをリバース・エンジニアリングすることも可能である。さらに、この方法では、購入者によるエクスプロイトの使用に対して、開発者が大きな管理と影響力を持つことになり、両当事者間の強い信頼関係に依存することになる。

多くの犯罪者に見れるとバグの影響は浅くなる

この Exploit-as-a-Service モデルは、悪意のハッカーにとって、収入源を多様化する新たな手段となるかもしれない。しかし、ゼロデイ・エクスプロイトを、数多くの関係者に貸出/リースする行為は、貴重な資産を焼失させるリスクを伴う。

Digital Shadows の Photon Research Team は Daily Swig に対して、「知名度の高いターゲットや、多数のターゲットに対してエクスプロイトを使用した場合、そのエクスプロイトの背後にあるゼロデイ脆弱性が発見されるリスクが高まる。したがって、Exploit-as-a-Service のビジネス・モデルを検討している脅威アクターたちは、これらの重要な問題を十分に認識している」と述べている。

このモデルが、開発者にとって利益を生むまでに、こうした障害が克服されるかどうかについては、まだコンセンサスが得られていない。開発者は完全な買い手を待つ間も、収入源の拡大を求めているようだ。このビジネス・モデルが実現すると、高度で危険なゼロデイ脆弱性を利用する脅威アクターが増えることに間違いはない。

Digital Shadows の Latest Dark Web Study は、11月16日 に発表され、オンラインで参照できる。

Ransomware-as-a-Service に続いて、Exploit-as-a-Service が登場するのかもしれません。そして、EaaS が成功すれば、RaaS と連携するのも時間の問題でしょう。よろしければ、「RaaS のエコシステムを解析する」を ご参照ください。

%d bloggers like this: