Initial Access Brokers Shift Tactics, Selling More for Less
2025/04/11 TheHackerNews — アンダーグラウンド市場の仲介業者であるイニシャル・アクセス・ブローカー (IAB:Initial Access Broker) は、コンピュータ・システムやネットワークへの不正侵入を専門とし、そのアクセス権を他のサイバー犯罪者に販売することで利益を得ている。この“役割分担”により、IAB はソーシャル・エンジニアリングやブルートフォース攻撃などの手法を使った脆弱性の悪用という、自身の本業に専念できるというわけだ。
IAB は、アクセス権を他の攻撃者たちに販売することにより、ランサムウェア攻撃などの複雑かつ高リスクな作業を自ら実行せずに済むため、リスクを大幅に軽減できる。その代わりに、ネットワーク侵害のスキルを活かし、攻撃プロセスを効率化した形で顧客たちに提供している。
このビジネスモデルにより、IAB は目立たず低リスクで活動し、技術力を活かして収益を上げることができる。IAB は主にダークウェブのフォーラムやアンダーグラウンド市場で活動しているが、単独で動く場合もあれば、RaaS (Ransomware-as-a-Service) グループのような大規模な組織の一部として活動することもある。
ランサムウェア・グループや情報窃取者などが活動を始めるために必要とする、足がかりを提供する IAB は、サイバー犯罪のエコシステムにおいて重要な存在となっている。彼らのサービスの価格は、ターゲットの規模/付与されるアクセスのレベル/侵害したシステムの価値などにより変動する。彼らの取引は、主にダークウェブ上で行われる。
IAB が勢いを増している理由
IAB が台頭している背景には、ランサムウェア攻撃に対して、特に RaaS 型の攻撃の効率化と加速化への大きな貢献がある。ネットワークへの初期侵入という複雑な工程を担うことで、IAB はランサムウェア・グループがデータの暗号化と身代金要求にできる環境を整え、攻撃のスケーラビリティを実現している。
この効率性は、 RaaS のアフィリエイトと、IAB が来レクトに連携する傾向が強まることで、さらに高まっている。それにより、アクセスを確保した直後から、即時的な攻撃を仕掛ける体制が整えられ、これまでの足がかりを構築するプロセスが不要になりつつある。
この共生関係は、双方に利益をもたらす。RaaS グループ側は、攻撃のスピードと効率を獲得する。IAB 側は安定した仕事の供給を確保し、多くの場合では、ダークウェブでの宣伝活動すら不要になる。
その結果として、オープンな市場で活動するサイバー犯罪者に比べて、IAB の活動は目立ち難くなり、法執行機関の監視を逃れやすくなる。このようなランサムウェア・グループの業務効率の向上と、IAB 側のリスクの低減という組み合わせが、サイバー犯罪エコシステムにおける、彼らの急成長と影響力の拡大の後押しとなっている。
IAB の主な標的とは
2023年に IAB の主な標的となった業種は、ビジネス・サービス業界であり、全体の29%という圧倒的な割合を占めていた。2024年にも依然として Top-3 にランクインしているが、その割合は 13%に減少した。それにより分かることは、より多様な業界が標的となっていることだ。他の業界でも同様に、攻撃の割合が減少している。この変化が示唆するのは、攻撃対象とする業界を、IAB が拡大していることだ。
いつものように、その経済力と技術力が背景となり、米国は最も価値の高い標的として主要ターゲットになっている。注目すべきは、2位と3位にランクインしているブラジルとフランスである。それが示すのは、IAB にとって価値の高い標的が、両国にも存在していることだ。
標的とされている業種について、より詳しく知りたい場合は、CHECK POINT の “2025 Initial Access Brokers Report” から確認できる。
IAB の金銭的動機
IAB 市場では、動的な価格設定が行われており、企業へのイニシャル・アクセスは一般的に $500〜$3,000 で販売されている。2023年の平均価格は $1,979 であったが、中央値は $1,000 と大幅に下がる。これは、数万ドル規模とされる、一部の高額ターゲットにより価格が押し上げられた結果である。実際に、出品価格の大半は、$3,000 以下であった。
2024年には、より小規模な組織を狙う傾向が強まった。ハッキングしたシステムへのアクセス販売価格は全体的に下がり、86%が $3,000 未満で取引される一方で、平均価格は $2,047 に上昇している。ただし、この平均値も、一部の非常な高額取引により引き上げられたものであり、実態を正確に反映しているとは言えない。
そして、イニシャル・アクセスの価格帯の分布は、2023年から大きく変化した。$1,000 未満の取引が 58% と大半を占める一方で、$10,000 以上の高額なアクセスは減少し、全体のわずか 7% に留まっている。
このような変化が示唆するのは、IAB 自身による戦術の変更である。彼らの狙いは、少数の高額取引よりも、数で勝負する方向へのシフトであり、低価格な多数のアクセス権を提供することで、総体として大きな利益を得ることである。
個々の価格は下がっているものの、提供されるアクセス・ポイントの数の多さが、大きな脅威となっている。それにより、被害の拡散リスクを高めるだけでなく、少数の高額取引よりも収益性が高くなる可能性が生じてくる。この変化が示すのは、IAB 市場が、個々の高額取引よりも、アクセス性と量を重視する方向へと進化していることだ。
IAB の今後の動向
IAB の増加の背景には、サイバー犯罪の効率性と収益性を高めるための、複数の要因が重なった結果があるのだろう。IAB がネットワークへの初期侵入フェーズに特化することで、ランサムウェア・グループなどの攻撃者は、攻撃の後半フェーズへの集中を達成し、その結果として、作戦全体の効率化と攻撃規模の拡大が可能になる。
前述のとおり、RaaS アフィリエイトと IAB とのダイレクトな連携の拡大により、攻撃の実行スピードは一段と加速し、より洗練されたサイバー犯罪エコシステムが構築されつつある。
IAB の価格戦略の進化は、戦術の大きな転換を物語っている。繰り返して述べてきたように、最近の彼らは、少数の高額取引から、低価格なアクセス権を大量に提供する方向へとシフトしている。この転換より、攻撃手段の選択肢が増え、より多くの攻撃者にとってサイバー犯罪が手の届くものとなった。その結果として、被害の拡大リスクを高めながら、全体の収益性を最大化するという構造ができあがっている。
このような戦術転換に加えて、パブリックなダークウェブ・フォーラム外で活動する IAB は、法執行機関の監視から逃れやすくなり、追跡を回避しやすくなっている。
今後も IAB は、サイバー犯罪における重要な役割を担い続けることに間違いないだろう。 IAB が提供するアクセス・ポイントは、ランサムウェアなどの金銭目的の攻撃を、さらに加速させる可能性がある。特に、低価格で大量のアクセスが販売される傾向により、これまでは攻撃の対象外とされてきた小規模な組織であっても、今後はリスクに直面する確率が高まってくるだろう。
さらに、IAB がその戦術を成熟させ、RaaS アフィリエイトとの連携を強化するにつれてて、サイバー攻撃の速度と効率性はさらに高まるだろう。したがって、IABによる脅威の増大を緩和する上で、以下のような積極的なサイバーセキュリティ対策が、さらに重要になるだろう:
- 最新の TTP (攻撃手法/ツール/手順) に関する脅威インテリジェンスの収集
- 継続的な監視体制の構築
- 従業員に対するセキュリティ教育と訓練
アクセスタイプ/特権の使用/推奨される保護対策などの、現代の IAB の戦術に関する詳細な洞察については、包括的な IAB ガイドを参照するか、または、セキュリティ研究者 Adi Bleih よる 2025年の RSA カンファレンスでの講演 “Initial Access Brokers – A Deep Dive“ に参加してほしい。この講演は、4月30日午後2時25分より、HT-W09 にて行われる。参加登録は、このページから行える。
あんまり頑張らないでほしい IAB ですが、その勢いを増しているようですね。私たちの産業が、分業とサプライチェーンにより効率化を達成しているのと同様に、あちらのエコシステムも、どんどんと成長しているわけです。よろしければ、IAB で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.