初期アクセスブローカー(IAB)は、ニッチなフォーラムの関係者から、ランサムウェアのサプライチェーンにおける中核的な卸売業者へと移行しました。自ら侵入してペイロードを展開するのではなく、企業の認証情報、VPN、露出したインフラを侵害し、そのアクセスを犯罪マーケットプレイスで販売することに特化しています。近年の欧州の脅威評価では、IABが「サービスとしての犯罪(crime-as-a-service)」エコシステムの中で繁栄するセグメントとして強調されており、盗まれたデータや足掛かりが大規模に取引され、恐喝キャンペーンの燃料となっています。ユーロポールの2025年「Steal, Deal, Repeat」概要では、アクセス仲介が中核的なイネーブラー(実現要因)として、1つの侵害を多数の下流インシデントへと転化させるものだと説明しています。
トレンド概要
2025年のIABの活動は、単独のハッカーというより、組織化されたサプライヤーのように見えます。典型的なブローカーは、有効な認証情報、リモートアクセスサービス、クラウド管理パネル、あるいはActive Directory内部の初期足掛かりを侵害し、そのアクセスを招待制フォーラムや非公開のTelegramチャンネルで競売にかけます。マネージド検知プロバイダーによる近年の定義では、IABが現在、VPNアクセス、メールおよびSaaSのセッション、ドメイン管理者の足掛かり、事前に悪用された脆弱性を、ランサムウェアのアフィリエイトに日常的に販売していることが強調されています。Arctic Wolfの初期アクセスブローカー用語集は、彼らを「システムに侵入し、その足掛かりを他者に販売することに特化した専門家」と呼んでいます。
市場もまた工業化しました。最近のOSINT(オープンソース・インテリジェンス)によれば、価格は被害者の売上、地域、業種、アクセス権限のレベルによって変動し、中堅規模の組織に対する多くの掲載が、現在では1,000米ドルを十分に下回る水準に収まっています。ThreatMonの2024–2025年初期アクセスレポートは、2024年初頭から2025年半ばにかけての数百件の掲載を追跡し、IABが提供内容にポストエクスプロイト用ツールやラテラルムーブメント用スクリプトを同梱する傾向を強めていると指摘しています。これにより、生のアクセスが、ほぼターンキーの侵入パッケージへと変わっています。ThreatMonの2024–2025年初期アクセスレポートは、これをアクセス仲介が構造化された商用サービスラインへ成熟した証拠として位置付けています。
このセグメンテーションと価格戦略は、Inside Dark Web Exploit Markets in 2025で記録したエクスプロイト取引コミュニティ全体で観測されたものと一致しており、アクセスの掲載情報やエクスプロイトキットが、ますます構造化された製品カタログのようになっています。
この同梱(バンドル)化の傾向は、地下経済におけるより広範な変化とも整合しており、Exploit-as-a-Service Resurgence in 2025で取り上げた、サブスクリプション型のエクスプロイトおよびアクセスパッケージもその一例です。
戦略的な影響は明白です。ユーロポールの最新のインターネット組織犯罪脅威評価(IOCTA)では、IAB、droppers-as-a-serviceの運営者、crypter開発者を、上位層のサイバー犯罪者にとっての「主要なイネーブラー」と位置付け、データ窃取を後段のランサムウェアや詐欺へ結び付けています。ユーロポールのIOCTA 2025レポートは、犯罪マーケットプレイスでの活動増加とIABの専門化が相まって、ランサムウェア集団がより少ない偵察労力で、より多くの被害者を狙えるようになったと述べています。
キャンペーン分析/ケーススタディ
ケーススタディ1:ジャガー・ランドローバーとシステム的なサプライチェーン影響
2025年のジャガー・ランドローバー(JLR)に対するサイバー攻撃は、単一の侵害がサプライチェーン全体へ連鎖し得ることを示す教科書的な例です。8月下旬、サイバーインシデントによりJLRは製造オペレーション全体で中核ITシステムを停止せざるを得なくなり、1日あたり約1,000台の生産が止まり、数万人の労働者とサプライヤーが宙に浮く状況となりました。ロイターの報道では、停止期間中の直接損失は少なくとも週あたり5,000万ポンドに上ると見積もられ、英国政府はサプライヤーの安定化のために20億ポンドの融資保証を提供する介入に踏み切りました。JLRサイバー攻撃に関するロイター報道は、単一の出来事がGDP予測、雇用、国家の産業政策にまで波及し得ることを強調しています。
公表情報では、IABが関与していたかどうかはまだ確認されていないものの、特徴は仲介アクセス取引と整合します。すなわち、複雑なグローバルITを抱える主要ブランドでの混乱、チェーンのどこかでの認証情報の使い回しや脆弱なリモートアクセスシステムの可能性の高さ、そして一次被害者だけでなく依存する数百のサプライヤーにも打撃を与えるランサムウェア型の停止です。防御側にとってJLRは、仲介されたアクセスが単なる「ITリスク」ではなく、物理的な生産を数週間止め得るシステム的なエクスポージャーである理由を示す現実の例です。
ケーススタディ2:Toymaker、LAGTOYバックドア、そしてCactusの二重恐喝
「ToyMaker」として知られるIABに関する2025年の調査は、専門化したブローカーが二重恐喝型ランサムウェアキャンペーンにどのように供給しているかを示しています。Cisco Talosおよびその後の分析によれば、ToyMakerはインターネットに面したサーバーを悪用して重要インフラ組織を標的にし、LAGTOYと呼ばれるカスタムバックドアを展開し、認証情報を大規模に抽出するアクセスブローカーとして説明されています。初期の偵察期間の後、ToyMakerはそのアクセスをCactusランサムウェア集団に引き渡し、同集団はネットワーク全体の列挙を実施し、機微データを持ち出し、AnyDeskやOpenSSHといった標準的なリモートアクセスツールで暗号化を展開します。
この事例は、現代の攻撃における数週間にわたるタイムラインと分業を示しています。ブローカーがアクセスを獲得してLAGTOYをインストールし、その後およそ3週間の潜伏期間を経て、Cactusが二重恐喝のプレイブック(データ窃取、暗号化、公開リークの脅迫)を実行します。Ampcus CyberのToyMakerプロファイルは、シーケンス、ツール、手口を明確に示しており、初期アクセスが、オペレーターの付随作業ではなく、ランサムウェアのパイプラインにおける独立した収益化ステージになったことを裏付けています。
ケーススタディ3:アクセス販売から数週間でランサムウェアへ(歴史的文脈)
脅威インテリジェンス企業による以前の研究も、IABの経済性を理解するうえで有用な文脈を提供します。2022年のブログ投稿でKELAは、複数のランサムウェア事案をサイバー犯罪フォーラム上の特定のネットワークアクセス掲載にまで遡って追跡しました。この調査では、アクセスが掲載後1〜3日で売れることが多く、被害者が平均23〜36日でランサムウェアのリークサイトに登場することが示されました。中央値で約500米ドル、数千ドル台前半の取引もあり、航空会社、製造業、地域サービスプロバイダーへのリモートアクセスを購入するには十分でした。
これらの事例は2024〜2025年の急増以前のものですが、アクセスが市場に出た後、防御側が侵入を検知して是正するまでの時間がいかに短いか、そして重大な侵害がいかに安価に始まり得るかを示しています。KELAの「From Initial Access to Ransomware Attack」ケースシリーズは、VPNやRDP経由で販売されたアクセスが、その後LockBitやContiのような集団による攻撃に供給されたことを記述しており、攻撃者の小さな初期投資が、被害者にとって数百万ドル規模のインシデントにつながり得るというパターンを補強しています。
検知ベクター/TTP
戦術・技術・手順(TTP)の観点では、IABの活動は侵入と認証情報窃取の境界をしばしば曖昧にします。MITRE ATT&CKマトリクスでは、典型的な技術として、初期アクセスにおける有効なアカウントの使用(T1078)、公開アプリケーションの悪用(T1190)、リモートサービスの悪用(T1021)などが挙げられます。ブラウザに保存されたパスワードやセッションクッキーを持ち出すインフォスティーラーマルウェアが上流で頻繁に用いられ、そこで収集された認証情報がアクセスパッケージとして販売されます。オーストラリア・サイバーセキュリティセンターの2024–2025年脅威レポートは、インフォスティーラーマルウェアが被害者を侵害し、そのデータがマーケットプレイスで販売され、IABがそれを購入してアクセスを検証し、さらにランサムウェア運用者へ再販売するという典型的な連鎖を説明しています。ASDの年次サイバー脅威レポート 2024–2025は、これを例外ではなく標準化されたプレイブックとして位置付けています。
認証情報の悪用とリモートアクセスの悪用は、現在のキャンペーンでも確認できます。Kasperskyの2025年脅威統計では、2024年の初期攻撃ベクターの31.4%が有効なアカウントであり、多くの認証情報がマルウェアによって盗まれ、その後ダークネット市場で販売されて追撃攻撃に利用されたことが強調されています。有効なアカウントを初期攻撃ベクターとして分析したKasperskyの資料は、この傾向が孤立した事案ではなくIABの行動と整合するものだと述べています。並行して、Akiraランサムウェア集団を追跡するセキュリティ研究者は、SonicWallのSSL VPNアプライアンスが侵害され、その直後にランサムウェアが展開されるキャンペーンを報告しており、攻撃者がゼロデイを用いたのか、以前に盗まれた認証情報を使ったのかが議論の焦点となっています。SonicWall VPNに対するAkiraの活動を扱ったTechRadarの記事は、リアルタイムで、悪用と仲介された認証情報の再利用を区別することがいかに難しいかを浮き彫りにしています。
業界の対応/法執行
法執行機関および各国のサイバー機関は、IABを周辺的な存在ではなく高価値ターゲットとして扱う傾向を強めています。ユーロポールは、サイバー攻撃を「サービスとしての犯罪」の頂点として広く取り上げる中で、アクセスブローカー、crypter開発者、dropperがこのエコシステムの中核に位置し、彼らのインフラを妨害することが下流のランサムウェア運用に不釣り合いに大きな影響を与え得ると強調しています。サイバー攻撃に関するユーロポールのスポットライトレポートは、個々のランサムウェアブランドだけでなく、マーケットプレイスやサービス提供者を標的にする国際協調作戦を強調しています。
この動きは、Ransomware Payments vs Rising Incident Counts in 2025で分析した、RaaS(Ransomware-as-a-Service)のインセンティブ構造の広範な変化とも一致しており、アクセスの品質とサプライチェーンへの到達範囲が、アフィリエイトの収益モデルをますます左右しています。
同時に、複数の国家レポートは、多くの組織が自社のアタックサーフェスに関連するIAB活動を監視するための体系的な手段を依然として持っていないことを強調しています。オーストラリアの2024–2025年サイバー環境に関する更新では、インシデントが11%増加し、金銭的損失が拡大していることが示され、アクセス仲介がコモディティマルウェアから高影響イベントへ至る経路として明確に指摘されています。ACSCレポートに関するFortianの2025年10月サマリーは、ダークウェブ監視、認証情報漏えい検知、内部テレメトリを組み合わせる組織の方が、暗号化が始まる前に仲介アクセスを捕捉できる可能性が高いと示唆しています。ベンダー側では、Cyberintなどによる最近の「Initial Access Broker」レポートが、IABを正式なサプライチェーンリスクとして位置付け、大企業は地下のアクセス掲載情報をサードパーティリスク指標として扱うべきだと推奨しています。Cyberintの2025年IABレポートのランディングページは、アクセス・インテリジェンスを独立したCTIユースケースとして提示しています。
CISO向けプレイブック
- 公開資産、リモートアクセスサービス、高価値SaaSテナントをマッピングし、それらの資産に一致する漏えい認証情報、アクセス掲載情報、IABの会話(チャター)を監視することで、アクセス仲介を脅威モデルに組み込みましょう。
- VPN、IDプロバイダー、リモート管理ツールを「クラウンジュエル(最重要資産)への入口」として扱いましょう。強固な認証を強制し、休眠アカウントを積極的に整理し、不可能な移動(impossible travel)や異常なVPN送信元IPを監視し、攻撃者がいつ・どのように最初にログインしたかを再構築できるだけの詳細なログを取得してください。
- アクセスがすでに販売されたことを前提とするプレイブックを構築しましょう。「マーケットプレイスでアクセスが発見された」事態に対するインシデント対応をリハーサルし、迅速な認証情報リセット、端末の再イメージング、パートナーへの通知、インフラや認証情報を共有している可能性のある重要サプライヤーの確認を含めてください。
本記事は、防御および教育目的に限り、犯罪者の手口を説明するものです。明示的な法的許可なく、不正なアクセスを購入・販売・使用しようとしないでください。
