Online crime-as-a-service skyrockets with 24,000 users selling attack tools
2025/03/03 HelpNetSecurity — iProov によると、AI ベースのテクノロジーの成長により新たな課題が生じ、リモート ID 検証システムは攻撃に対して、以前より脆弱になっているという。革新的で簡単にアクセスできるツールが提供され、脅威アクターたちは一夜にして洗練され、新しい手法を用いる脅威ベクターが増加している。
コンシューマを標的とする ID 詐欺に、多くの注目が集まっているが、2024年の脅威アクターたちが、最も労力とコストを掛けた攻撃は、企業の従業員のリモート ID 検証システムを標的とするものだった。この企業を標的とする動きが示すのは、懸念すべきトレンドである。つまり、脅威アクターたちは、最大限の効果を得るために、リモートワーク・プロセスと企業の通信チャネルを悪用していることになる。
人材採用におけるリモートプロセスや、仮想化された職場でのコミュニケーション、そして、役員たちのビデオ会議を標的とすることで、攻撃者たちは以前と比べて遥かに高い利益を上げている。個人から組織への、このシフトは、従業員の ID 検証における危険なギャップを露呈させ、いまの企業のセキュリティ・フレームワークの苦しさを示している。
リモート ID 検証システムの主な攻撃の傾向
ネイティブ仮想カメラ攻撃は、2023 年の実験段階から進化し、2024 年には大きな脅威となり、主流のアプリ・ストアへの侵入もあり、2665% も増加した。最も懸念されるのは、これらの攻撃にはルート化やジェイルブレイクされたデバイスが不要なため、高度な技術スキルを持たない脅威アクターもアクセスできることだ。
フェイス・スワップ攻撃は、2023 年と比較して 300% 急増し、脅威アクターたちの焦点は、生体検出プロトコルを使用するシステムへと移っている。脅威アクターは、共有インテリジェンスを活用し、各種のフェイル・スワップ・ツールを用いて、脆弱なシステムを悪用する。
2024 年には、さらに 31 のオンライン脅威アクター・グループが特定されたが、そのうちの最大のグループには 6,400 人のユーザーがいるという。オンラインの Crime-as-a-Service エコシステムが成長し、現在では約 24,000 人のユーザーが、攻撃テクノロジーを販売している。画像から動画への変換は、シンプルな2段階のプロセスを備える、新たな合成 ID 攻撃ベクターとして登場し、すでに市場に出回っている数多くの生体検出ソリューションに対して、影響を与える可能性がある。
シンプルな一匹狼型の攻撃から、複雑なマルチアクターの市場へと、脅威は進化している。iProov のレポートが強調するのは、長期的な詐欺戦略への移行である。脅威アクターたちは、窃取/購入した ID に加えて合成された ID を、日常的なオンライン ID アクセス・ポイントの構造に埋め込んでいる。
最も陰険な攻撃の1つは、スリーパー戦術である。つまり、長期間休眠状態のままで、ひっそりとネットワークに潜伏し、突然にして大混乱を引き起こすためのコードである。それとは対照的に、これまで以上に迅速に、攻撃を複製して展開する犯罪者もいる。さまざまなセクターで並行して操作を開始し、リモート・ワーク・システムや企業の通信チャネルにまで標的の範囲を広げている。
iProov の Chief Scientific Officer である Dr. Andrew Newell は、「たとえば、ディープフェイクのコモディティ化と商業化は、組織や個人にとって大きな脅威となる。かつては、高度なスキルを持つアクターの領域だったが、最小限の技術的専門知識だけを持つ低スキルのアクターが参戦するようになった。つまり、最大の結果を得るために、使用するツールとサービスが、市場においてアクセス可能となっている」と述べている。
リモート ID 検証に対する、攻撃の規模は膨大である。iProov が複数の脅威ベクターを分析した結果として判明したのは、攻撃が急激に増加し、また、高価値企業を標的とする傾向が強まっていることだ。この調査結果は、115,000 を超える潜在的な攻撃の組み合わせが考えられるとしている。
合成 ID 詐欺の危険性が高まっている
合成 ID 詐欺 (SIF:Synthetic identity fraud) は、最も急速に増加しているタイプの詐欺であり、その影響は極めて憂慮すべきものである。この巧妙な手口は、正当なデータと偽造された個人情報を組み合わせて、説得力のある偽の ID を作成するものである。なお、前述の正当なデータとして挙げられるのは、子供/高齢者/故人から盗まれることが多い、有効な社会保障番号などである。
SIF との戦いを特に難しくするのは、従来の詐欺検出システムを回避する能力である。実際の被害者からの報告に基づいて、システムが盗まれた情報にフラグを立てることが可能な、従来からの ID 盗難への対策とは異なり、SIF が生成する新しい ID には、実際の要素と偽の要素が組み込まれている。
Dr. Andrew Newell は、「攻撃ツールの普及が加速し続けているため、セキュリティ対応に苦労している。デジタル・メディアの真正性を、人間の目で確認することが不可能にな世界へと移行し始めている。つまり、従来からのターゲットにとって問題であるが、信頼を確立するためにデジタル・メディアの真正性に依存する、組織や個人にとって大きな問題となっている」と指摘している。
静的かつ時間軸が制限されたセキュリティ対策や、集団的な誤った安心感、そして、人為的ミスなどが重なり合っている。最近の iProov 調査により例証されたのは、本物のコンテンツと偽のコンテンツを確実に区別できた人は、わずか 0.1% に過ぎないというという事実であり、現在の防御の限界が強調されている。さらに、このレポートが強調するのは、標準的な検出および封じ込めプロトコルが、脅威ほど急速に進化していない点であり、さまざまな組織が、長期間にわたって脆弱な状態にあることだ。
Dr. Andrew Newell は、「時代遅れのセキュリティ対策に頼ることは、詐欺師に対して、玄関を開けっ放しにするようなものだ。そのような状況において、防御を成功させるには、継続的な監視/迅速な適応能力が必要だが、それにも増して、新しい攻撃パターンが広く悪用される前に検出/対応する能力が必要だ」と述べている。
個人に対する詐欺は深刻だが、組織にとっては甚大な経済的損失につながる可能性がある。連邦取引委員会の Consumer Sentinel Network によると、2023 年には $10 billion 以上が個人情報盗難で失われた。その一方で、組織においては、侵害1件あたり $350 million を超える和解費用が支出されたとされる。
近い未来において、実証済みの本人確認を、高速で効率的に行うためには、単一のテクノロジーやアプローチに依存するのではなく、多層的かつ動的な戦略を用いる必要がある。
CaaS (Crime-as-a-Service) が急成長し、現在では約 24,000 人のユーザーが、攻撃テクノロジーを販売しているという、恐ろしい調査結果です。CaaS によって攻撃者の技術的ハードルが下がることで、組織や個人への脅威がますます増大していくことが予想されます。よろしければ、以下の関連記事も、Security by Design/Zero Trust で検索と併せて、ご参照下さい。
2025/02/27:2025 Global Threat Report:高度化する犯罪グループ
2025/02/27:Phishing トレンド 2024 – 状況を分析して攻撃に備える
2025/02/03:2024年に悪用された CVE は768件:2023年から 20%増加
2025/02/05:2024年に収集された 100万個以上のマルウェアを分析
2025/02/05:ランサムウェアの 2024年を分析:身代金総額は $813.55 M
IoT OT Security News 
You must be logged in to post a comment.