Initial Access Broker Activity Doubles in a Year
2023/01/17 InfoSecurity — セキュリティ研究者たちが明らかにしたのは、IAB (Initial Access Broker) がダークウェブ上で企業アクセスを販売したケースが、2022年と2021年の比較において2倍に増加し、また、ブローカーの数も急増したことである。Group-IB が発見した IAB の販売活動は、2021年7月〜2022年6月の間に 2348件を数え、その被害に遭った被害組織の所在国数も、41%増の 96ヶ国になったという。最も標的になったのは米国企業であり、分野別では製造業 (5.8%) /金融サービス (5.1%) /不動産 (4.6%) /教育 (4.2%) が上位を占めている。
また、ブローカーの数は 262 から 380 に増加しており、IAB のアクセス価格は 50%下落して $2800 になった。その結果、世界の IAB 市場規模は 8.5%減の $6.7m と、若干の縮小になった。
また Group-IB は、情報窃取マルウェアが取得する膨大なログにより、IAB 市場が飽和し始めていることも発見した。その中には、最近に発生した Uber への不正アクセスを実行した脅威アクターが、わずか $20 で購入した、非常に人気の高い SSO (Single Sign-On) ログ 40万件が含まれている。
Group-IB の CEO である Dmitry Volkov は、「このようなサービスにより、技術的スキルの低い人々もサイバー犯罪に参加できるようになる。リモートワークや SSO サービスの普及に伴い、企業ネットワークにアクセスした事例が、スティーラー・ログにも頻繁に現れるようになった。従業員を介した企業への攻撃は、主要な感染経路の1つになるだろう」と警告している。
彼は、「このような攻撃に対する特効薬は存在しない。この傾向に対応するためには、従業員教育/検知能力などの強化により、ソーシャル・エンジニアリングに対抗していく必要がある。また、サイバー犯罪者の組織で行われる、漏洩した従業員の記録の販売や、ネットワークへのアクセスの販売を監視するなど、あらゆる層にわたりサイバー・セキュリティを向上させる必要がある」と述べている。
IAB 市場の隆盛も相まって、昨年は、ランサムウェア攻撃の被害者数も増加した。
このレポートの作成期間中に、ランサムウェアの流出サイトに機密データが公開された企業は 2886社であり、前年比 22%増だったという。しかし、このようなサイトに掲載されずに、すぐに支払いを済ませた被害者が、もっと多く存在している可能性がある。
情報スティーラーの蔓延により、IAB (Initial Access Broker) が飽和状態になっているらしいです。同じ IAB 調査ですが、2022/10/31 の KELA のダークウェブ調査では、2022 Q3 の 市場規模は $4M で、販売された対象は 576件とのことです。576 x 4 = 2304件なので、Group-IB の言う 2348件と、ほぼ同じです。最近では、以下のような IAB 関連の記事もありました。Group-IB の Hi-Tech Crime Trends 2022/2023 と合わせて、よろしければ、ご参照ください。
2022/10/31:KELA のダークウェブ調査:2022 Q3 576社
2022/11/11:ドイツ銀行へのアクセスを IAB が販売
2022/11/29:Fortinet の 脆弱性へのアクセスを販売する IAB
IoT OT Security News 
You must be logged in to post a comment.