Exploit-as-a-Service(EaaS)は、単発のエクスプロイト販売から成熟したアンダーグラウンド経済へと変貌を遂げました。2025年には、エクスプロイトブローカーが即利用可能なアクセス、サブスクリプションバンドル、継続的なエクスプロイトアップデートを販売しています。これらのサービスは正規のSaaSモデルを模倣しており、攻撃者の手間を減らし、アクセスをコモディティ化された商品にしています。脅威アクターは、もはや自分で構築するのではなく、エクスプロイトパイプラインを購入できるようになりました。
トレンド概要
初期アクセス市場はより製品化が進んでいます。Rapid7の新しいレポートによると、ブローカーのリスティングの70%以上がネットワークアクセスだけでなくユーザー権限も含んでいます。Rapid7 2025 Access Brokers Reportでは、これらのバンドルが権限昇格や持続性を調整するモジュールを含んでいることが説明されています。これは単なる生アクセスではなく、侵害をパッケージ化して販売するものです。
ThreatMonの2024–2025 Initial Access Reportによる並行市場分析でも、リスティングにはポストエクスプロイトツールやサポートが一般的に含まれるようになったことが確認されています。ThreatMon 2024–2025 Initial Access Reportによると、多くのアクセスオファーにはラテラルムーブメント用のスクリプトやシェルがバンドルされており、価格も圧縮され続けています—多くのリスティングが1,000ドル未満になっています。
価格の低下は意図的なシフトです。Infosecurity Magazineによれば、ブローカーは自らの過去の価格を下回ることで取引量を増やそうとしています。Infosecurity Magazineによる低価格IAB市場では、VPNやユーザーアカウントアクセスが多くの低価格パッケージを占めていると報告されています。狙いは、市場を飽和させ、アクセスを安価に入手できるようにしつつ、追跡を困難にすることです。
キャンペーン分析&ケーススタディ
ケーススタディ:権限モジュール付きバンドルアクセス
Rapid7の分析によると、ブローカーのリスティングの70%以上が基本アクセスと権限昇格機能を組み合わせています。Rapid7ブログ:「Compromise for Sale」では、オールインワンパッケージのリスティングが紹介されています。購入者は一度の支払いで、侵害を深めるために必要なすべてを受け取ることができます。この変化により攻撃者の負担が減り、初期レベルのエクスプロイトが標準化されました。
ケーススタディ:ブローカー関連ネットワークのインフラ摘発
2024年末、米国司法省はRedLineおよびMETAインフォスティーラーのインフラを標的とした国際的な摘発に参加しました。RedLine/META摘発に関するDOJプレスリリースでは、数百台のサーバーの押収と逮捕について詳細が述べられています。この作戦は、盗まれた認証情報パイプラインに依存するエクスプロイトブローカーにも間接的な影響を与え、下流インフラを標的にすることで上流にも波及効果があることを示しました。
ケーススタディ:複数市場でのエクスプロイト販売のミラー化
Bitsightの「State of the Underground 2025」レポートは、エクスプロイトの提供が複数のフォーラムやメッセージングチャンネルで複製されていることを強調しています。Bitsight State of the Underground 2025では、同一のエクスプロイト名、スクリーンショット、価格がミラーサイト間で確認されています。このミラー化は、販売者が同じエクスプロイトペイロードを複数の販売チャネルでシンジケートし、リーチと露出を最大化していることを示唆しています。
検知ベクトル&TTPs
多くのEaaSオペレーションは反復可能なステップに従っています。攻撃者はアクセスを購入し、エクスプロイトチェッカーを展開し、権限を昇格させ、データを流出させます。エフェメラルシェルやメモリ上のみのモジュールの展開も一般的になっています。Unit42の調査では、初期アクセスブローカーによる漏洩マシンキーの使用が指紋となる挙動を示すことが分かっています。Unit42による漏洩キーとIABエクスプロイトでは、ブローカー展開で使われる識別可能なシグネチャやステージングパスが説明されています。
防御側はこれらの挙動をMITRE ATT&CKテクニックにマッピングできます:– T1078(有効なアカウント)認証情報の利用 – T1068(権限昇格のためのエクスプロイト)バンドルされた権限モジュール – T1021(リモートサービス)ラテラルムーブメント
エクスプロイトチェッカーの活動、繰り返されるシェル展開、未知のアカウントによる異常な権限昇格イベントを相関させることで、防御側はデータ窃取が始まる前にブローカーによる侵害を表面化させることができます。
業界の対応&法執行機関
法執行機関はインフラ摘発や隠密な潜入へとシフトしています。RedLine/META摘発がその一例ですが、現在ではブローカーフォーラムやエクスプロイトブローカー系列のフィッシング・アズ・ア・サービスのアフィリエイトも監視するようになっています。狙いは、脅威グループだけでなく、それらを支えるエコシステム全体の撹乱です。
セキュリティベンダーや研究者も対応を進めています。FortiGuard Labsの2025年脅威レポートでは、自動化やサイバー犯罪アズ・ア・サービスの拡大、エクスプロイトや認証情報市場を指摘しています。FortiGuard 2025レポートは、コモディティ化されたエクスプロイトが体系的なサービスとして成長していることを強調しています。機関が摘発を進める一方、防御側はブローカー指向のインテリジェンスを防御態勢に組み込む必要があります。
CISOプレイブック
- 外部公開サービスのパッチ適用を最優先する—特にVPN、リモートデスクトップインターフェース、ファイアウォール管理パネル、レガシー機器。
- 内部テレメトリと脅威インテリジェンスを相関させ、エクスプロイトチェッカーのパターンや権限昇格シグネチャを検出する。
- フィッシング耐性のあるMFAを徹底し、特に管理者アクセスにおいて認証情報の使い回しを減らす。
- ブローカーのハンドル名、インフラ、マーケットプレイスのメタデータに関する脅威インテリジェンスを信頼できる仲間やインテリジェンスアライアンスと共有する。
- レッドチーム演習でEaaS型攻撃をシミュレーションし、検知範囲と運用準備を検証する。
Exploit-as-a-Serviceは、アクセス、権限、保守が一体となって販売される構造化市場へと進化しました。防御側の課題は単なるパッチ適用や検知だけでなく、視点の転換です:これはサプライチェーンであり、偶発的な侵害ではありません。勝利するためには、セキュリティプログラムはインテリジェンス主導の撹乱を行い、単なる受動的な対応にとどまらない必要があります。
本記事は調査および防御意識向上を目的としたものです。違法行為を推奨または助長するものではありません。
