「分業」が進むランサムウェア攻撃：闇の情報屋 IAB

はい、こんにちは、松井真也です。

今回も、ランサムウェアにまつわるキーワードをご紹介しようと思います。それは、「初期アクセスブローカー（IAB；Initial Access Broker）」についてお話しします。

ランサムウェア被害に関連するニュースが飛び交う昨今。皆さんはランサムウェア攻撃集団にどのようなイメージをお持ちでしょうか？実は、ランサムウぇア攻撃は、多くの場合、複数の集団で「分業」されているのです。

なかでもIABは、ランサムウエア攻撃の攻撃面（侵入口）に関する情報を提供する存在です。

さっそくその実態に迫りましょう！

IAB 初期アクセスブローカーとは？

上で述べたように、初期アクセスブローカー（IAB）は、ランサムウェア攻撃を行う際の最初のステップとして、標的への不正アクセス手段を提供します。

となると、他にはどんな集団がいるのでしょうか。RaaSモデルのランサムウェアの攻撃の主体は３つに分かれます。

• Operator（開発者・運営者）

• Affiliate（提携者・攻撃者）

• Initial Access Broker（初期アクセスブローカー）

RaaSは、ランサムウェア版のSaaSみたいなものでしたね。よろしければ過去記事もどうぞ（この記事の中ではIABは登場しません）。

ランサムウェアを含む攻撃ツールを開発・運営するのは「Operator」、その攻撃ツールを利用して実際に攻撃するのが「Affiliate」です。さらに、その「Affiliate」に攻撃対象の侵入口の情報を提供するのが、IABです。

作る人、使う人、情報を集める人と、ある意味、効率的に役割分担をしていのですね。

具大抵にきは、IABは、偵察（reconnaissance）を行って、標的のネットワークやシステムに不正アクセスを行い、そこで得られた管理者権限などの重要情報を、オークション形式で闇市場で他の攻撃グループに販売するといいます。

IABは何を提供しているのか？

IABが提供する不正アクセス手段について、もう少し掘り下げますか。

例えば、以下のようなものがあります。

• 企業の実在するメールアカウント

• セキュアでないRDP（リモートデスクトッププロトコル）の情報

• VPNへのアクセス情報

• ドメイン管理者のアカウント情報

確かにこれらの情報を使えば、Affiliateはターゲットのシステムに侵入できる確率があがります。

IABの活動手法

では、IABはどんな方法で情報収集するのでしょうか？多岐にわたると思われますが、具体的には、以下のようなものがあります：

• ソーシャルエンジニアリングやフィッシング攻撃：ターゲットの機密情報や認証情報を聞き出したり、社員に入力させたりして盗みます。

• ブルートフォース攻撃：複数の認証方法を突破するために試行を繰り返します。

• 脆弱性の悪用：未修正のソフトウェア脆弱性を突いてネットワークに侵入します。

ではその対策は？

最後に、ランサムウェア攻撃などの不正アクセスリスクを低減するためにできることを例によって少しまとめます。

具体的な対策としては、以下のようなものがあります：

• セキュリティパッチの適用：システムやソフトウェアの脆弱性を迅速に修正することで、不正アクセスのリスクを低減します。

• 多要素認証（MFA）の導入：認証情報の漏洩を防ぎ、不正アクセスを困難にします。

• 従業員のセキュリティ教育：フィッシング攻撃やソーシャルエンジニアリングへの対策として、従業員に対するセキュリティ意識の向上を図ります。

このほかバックアップなどが大事です。繰り返しますが、社員教育は大事ですよ！

本日はここまで！IABについてご紹介しました。