TokyoBlackHatNews

gbhackers.com 4分で読了

古い流出データが新しい企業データ流出として再販売される

ダークウェブのデータブローカーは、古い流出データをリサイクルし、新しい企業データ流出として販売することが増えている。

主に中国語圏のサイバー犯罪フォーラムおよびTelegramチャネルで観察されているこの活動は、組織間に混乱を引き起こし、信頼性に欠ける請求の調査にセキュリティリソースを振り向けさせている。

Group-IBは、世界中の複数業界にわたる企業を標的とした大量データ広告の激増を特定した。

これらの投稿は頻繁に、最近の流出から盗まれたと称する数十万件から数百万件のレコードを提供すると主張している。

しかし、詳細な分析により、これらのデータセットのほとんどは新たに侵害されたデータではなく、過去にリークした情報の編集版であり、多くの場合、捏造されたまたは不十分に生成されたエントリと混在していることが判明した。

この調査は、Deepmixとしても知られるExchange Market、チャン・アン・スリープレス・ナイトなどダークウェブフォーラムを含む中国語圏の地下生態系内で活動する5つの著名なソース、およびAiqianjin、Yiqun Data、Phoenix Overseas Resourcesなどのテレグラムベースのブローカーを明らかにしている。

これらのプラットフォームは、迅速な投稿頻度、構造化された広告フォーマット、ユーザーアイデンティティの透明性の欠如など、共通の運用パターンを示している。

2013年以来活動しているExchange Marketは、ユーザープロフィールやプライベートメッセージング機能を持たない点で、典型的なダークウェブフォーラムとは異なっている。

Image

売り手はランダムに割り当てられた数値IDでのみ識別され、通信は公開スレッド返信に依存している。

チャン・アン・スリープレス・ナイトも同様のモデルに従い、匿名化されたユーザー名と制限された相互作用機能を備えており、これらの生態系の不透明な性質を強化している。

Telegramチャネルもこのようなデータの主要な流通チャネルとなっている。例えばAiqianjinは、2025年半ばに操業を停止する前に約5,000人の購読者を集めており、Yiqun DataやPhoenix Overseas Resourcesなどの新興事業者は大規模なデータセットの宣伝を続けている。

これらのブローカーは、大量レコードに加えてカスタマイズされたデータサービスを提供すると主張することが多く、さらに信頼性を高めている。

広告されているデータセットの技術的検証は、一貫した改ざんの兆候を明らかにしている。ある例では、湾岸の銀行から600,000件のクレジットカードレコードを含むと主張されるデータセットは、言語が混在した名前フィールドや不適切に翻訳されたアラビア語用語など、複数の矛盾を示していた。

新しい企業データ流出

GroupIBの分析により、研究者はデータを古い流出にさかのぼることに成功し、Facebook 2021流出やEatigo 2020インシデントなどの事例を通じ、該当データセットが人為的に組み立てられたことを実証した。

Phoenix Overseas Resourcesは2022年のTruecallerの流出データも再利用しており、歴史的流出データを誤解を招くパッケージに集約するより広範な傾向をさらに確認している。

これらのリサイクルされたデータセットは「リードデータ」と呼ばれることが多く、矛盾したフィールド値、不正な記録の組み合わせ、非現実的なフォーマットが特徴である。

不正な翻訳や異常な用語など、言語的な異常はデータが正規の本番システムから取得されていないことを示す追加的な指標となる。

Yiqun Dataが関与したもう一つのケースも同様のパターンを示しており、名前と電話番号などの個人情報はFacebook流出に由来し、パスワードハッシュは無関係の流出から引き出されていた。

Image

Group-IBはまた、これらのブローカー間で異なる行動パターンを観察している。多くのチャネルは月に数百から数千のメッセージを投稿しており、各主張が本物の流出を表すとすれば、このような量は現実的ではない。

広告は通常、スプレッドシート形式のサンプル画像、中国の数字表記で表現されたレコード数、および信頼性を高めるための著名な組織への言及を含む一貫した構造に従っている。

このリサイクルされたデータの主要な上流ソースには、個人識別情報を含む大規模な歴史的流出、特にFacebook 2021データセットが含まれる。

これらのデータセットは、ブローカーが最小限の努力で情報を再結合、再パッケージ化、再販売するための豊富な基盤を提供している。

Image

信頼性に欠けるこれらのキャンペーンでも、実際の運用上の課題をもたらす可能性がある。セキュリティチームは偽りの請求を検証するために相当な時間を費やす可能性があり、正規の脅威からの注意がそれてしまう。

Group-IBは、組織が検証、ソーストレーシング、パターン認識に焦点を当てた構造化された分析的アプローチを採択してこのようなデータを評価すべきであることを強調している。

結局のところ、この調査結果は、知覚が兵器化されるサイバー犯罪生態系内での増加する戦術を浮き彫りにしている。

チャネルに高容量で一見信頼性のあるデータ流出請求で殺到させることで、脅威アクターは古い流出から利益を得るだけでなく、これらの地下ネットワークに対する多くの組織の限定的な可視性を悪用している。

翻訳元: https://gbhackers.com/new-corporate-data-leaks/

ソース: gbhackers.com
#インシデント対応 #サイバー犯罪 #セキュリティリスク #ダークウェブ #データブローカー #データ流出 #個人情報 #情報セキュリティ #脅威インテリジェンス #詐欺

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚