マルウェア、ランサムウェア、ダークウェブ 驚異のサイバー犯罪最前線

GettyImages


すなわち、犯罪の元締めはダークウェブを介し、脆弱性情報とそれを悪用するエクスプロイト(脆弱性を利用して攻撃する不正なプログラム)など、犯罪実行に必要な情報やツールを入手し、できるだけ多くの企業ネットワークへの不正侵入口を確保する。あるいは、これらの不正侵入のためのアクセス権をいわゆる「アクセス・ブローカー」と呼ばれる別の犯罪者グループから購入することもある。

コロナ禍によるリモートワークの促進は、そうしたグループの活動を助けているとも言われており、VPN(バーチャル・プライベート・ネットワーク)などのネットワークソフトの脆弱性を悪用した攻撃が後を絶たない状況が続いている。

アフィリエイターなどのランサムウェアの実行者は、アクセス・ブローカーから購入したVPNなどの侵入口から不正アクセスを行い、前述の手口同様、権限昇格やネットワーク内の水平移動によってデータを物色する。二重脅迫型の場合、このタイミングでデータを盗み出しておく。その後でランサムウェアで実際の攻撃を実施するのだ。その後は被害者と交渉し、機密データを脅しに使いながら身代金を得る、という犯罪の最終段階に至るのである。

null
図2:ランサムウェアの分業モデル(出典:Ransomware as a Service Offered in the Deep Web: What This Means for Enterprises

ここで、こうしたランサムウェア犯罪の基盤がどのような背景で構築されてきたのか、サイバー犯罪の進化について振り返りたい。

サイバー犯罪の進化とダークウェブの役割


「ボットネット」の普及


黎明期のサイバー犯罪は「愉快犯的目的」「技術力の誇示」といったものが主だったが、犯罪者の「道具」として使われ始めたのは2000年代前半頃だ。また、この頃から名前を頻繁に耳にするようになってきたのが「ボットネット」の存在だ。「ボットネット」とは、「感染させた端末に犯罪活動を行う基盤を作り、その端末をリモートから操作するためのネットワーク」と定義づけることができる。

ボットネットの普及はまさに、犯罪者側が確実に、その目的を遂行するための「犯罪基盤」作りを着々と行い始めていたことのあらわれである。

null
図3:サイバー犯罪の進化

初期のボットネットでは主に、「システムのリモートコントロール」/「サービス妨害/DoS攻撃の実行」/「個人情報の窃取(ID/個人のクレジット情報/銀行情報など)」が機能として備わっていた。

それが他の犯罪サービスと結びついて、「ドキシング(窃取した情報を晒すこと)」/「窃取した情報のカタログ作成」/「「窃取したデータの販売」/「「標的企業のシステムに対して不正アクセスを可能にする犯罪サービスのプロビジョニング(犯罪実行のための資源の割り当てや設定などを行い、ニーズに応じて利用や運用が可能な状態にすること)」/「「第三者の作成したマルウェアをシステムにインストール(遠隔操作ツールやランサムウェアなど)」といった機能がボットネットを中核とする「犯罪サービス」に付加されるようになった。

こうした既存のプロセスにデジタル技術を取り入れ、サービスに変革を生む動きは、まさに犯罪におけるDX推進そのものであり、その結果、新たな付加価値を生み出していると言えるだろう。
次ページ > 犯罪者の2極化、グーグル検索ではたどりつけない「ダークウェブ」の台頭

文=清水 智

ForbesBrandVoice

人気記事