近年、サイバー犯罪のエコシステムは、ますますサブスクリプション型のテクノロジー業界のように機能しています。正規のクラウドサービスの「as-a-service」モデルと同様に、犯罪-as-a-service(CaaS)ソリューションは、経験の浅い攻撃者が攻撃に必要なリソースやアクセスをレンタルできるようにします。
サイバー犯罪ネットワークは、スケーラブルでオンデマンドなサービスや従量課金モデルを宣伝しています。
アフィリエイトプログラム(RaaS)は長らくランサムウェア集団によって利用されてきましたが、現在ではオンライン犯罪のほぼすべての側面が有料で提供されています。本ブログでは、サイバー犯罪がどのようにサブスクリプション型ビジネスモデルへと移行したか、その5つの方法と、従来の手法との顕著な違いについて解説します。
1. フィッシング-as-a-serviceは機能を拡張し続けている
フィッシング-as-a-service(PhaaS)は、メール詐欺をDIY型の手法から洗練されたサブスクリプションサービスへと変貌させました。従来、サイバー犯罪者は自分でフィッシングページやメール送信スクリプト、メールリストを用意するか、単発のフィッシングキットを購入する必要がありました。
現在では、説得力のあるページ作成から大量メール送信まで、すべてを定期料金で提供するターンキー型フィッシングプラットフォームが存在します。一部のアンダーグラウンド開発者はAIを統合し、フィッシングをさらに強化しています。
例えば、SpamGPTは、AI搭載のスパム-as-a-serviceツールで、フィッシングメールの自動生成、メールアカウントの突破、配信率の最大化などを自動化し、犯罪者にマーケティンググレードのキャンペーンツールを提供します。つまり、フィッシャー志望者でも、最小限の労力でプロフェッショナルなキャンペーンを展開できるのです。
もう一つの革新は、MatrixPDFのような悪意あるドキュメントビルダーの台頭です。これらは通常のPDFを武器化した誘導文書(偽のログインオーバーレイやリダイレクトなどを追加)に変換し、メールフィルターをすり抜けます。犯罪グループは、これらのサービスやキットをサブスクリプションで販売し、ユーザーガイドやカスタマーサポートまで提供しています。
PastebinからフィッシングHTMLをコピーしていた昔とは大違いです。PhaaSの加入者は、キットの定期アップデートやアンチディテクションの調整、技術サポートをサブスクリプションで受け取ります。その結果、ウェブ開発スキルがゼロの攻撃者でも、サブスク料金を支払うだけで常に最新のフィッシング手法を展開できるようになり、フィッシングが絶えず進化・改善するサービスへと変貌しています。
2. テレグラムボットがソーシャルエンジニアリングをサービス化
テレグラムのような暗号化メッセージングプラットフォームは、サイバー犯罪サービスの温床となり、テレグラムAPIをサブスクリプション型犯罪ツールの基盤として活用しています。その一例がワンタイムパスワード(OTP)ボットの急増です。
これらのボットは自動化されたコール詐欺を行います。ターゲットとなる被害者に実際に電話をかけ、銀行の発信者IDを偽装し、音声スクリプトで2FAセキュリティコードを聞き出します。通話の偽装、音声プロンプト、コードの取得まで、すべてボットが処理します。詐欺師志望者は必要に応じてこの機能をレンタルできます。
料金体系もSaaSモデルを模倣しています。あるOTPボットは、無制限通話で週約70ドル、プレミアムプランで月約150ドルを請求しています。このような手軽な従量課金型のソーシャルエンジニアリングツールは、数年前には存在しませんでした。当時は詐欺師がVOIPサービスで手動で通話を偽装したり、1人ずつ被害者を騙す必要がありました。
OTPボット以外にも、テレグラムチャンネルでは大量SMSスパム、SIMスワップサービス、偽通知ボットなどがレンタル/サブスクリプション形式で提供されています。テレグラムAPIの利用により、匿名性と即時展開が実現しています。
3. インフォスティーラーログがクラウドデータフィード化
サイバー犯罪者向けマーケットプレイスは、盗まれたデータをクラウドプラットフォームのようなものに変えました。以前は、盗まれた認証情報はフォーラムの単発投稿や大量データベースダンプで売られていました。今では、専門のプラットフォームが数百万件のインフォスティーラーマルウェアログを集約し、ウェブインターフェースで提供しています。
例えば、あるマーケットでは、サイバー犯罪者が地理情報、OS、マルウェアファミリー、特定のドメイン名などで盗まれたログインデータを検索・絞り込みでき、まるでクラウドデータベースを照会するような感覚です。
このダークウェブ市場は、個別のRDPハックの販売から、インフォスティーラーログの大規模取引へと進化し、より収益性の高いサブスクリプション型サービスとなりました。これらのプラットフォームへのアクセスはしばしば制限されており、購入者は会員費やデポジットを支払うことで、新鮮な盗難データのフィードを購読する形になります。
4. アクセスブローカーがネットワーク侵入をコモディティ化
少し前まで、企業ネットワークへの侵入を目指すサイバー犯罪者は、自分で脆弱性を探したり、内部者をフィッシングしたり、地道にハッキングする必要がありました。現在では、初期アクセスブローカー(IAB)がネットワークアクセスを大量に売買されるコモディティにしました。
これらのブローカーは、(盗まれたVPN認証情報、侵害されたRDPサーバー、ウェブシェルバックドアなどを通じて)組織への足がかりを獲得し、即利用可能なアクセスの在庫を維持します。そして、ランサムウェア集団など他の犯罪者にこのアクセスを販売・リースし、半公式なマーケットプレイスで取引されます。ビジネスは成熟し、一部のアクセスブローカーはリピーター向けに階層型価格やサブスクリプションバンドルまで提供しています。
脅威アクターは、新鮮なネットワークアクセスポイントの安定供給に対して料金を支払い、ハッキング済みマシンのパイプラインを購読することができます。トップブローカーはプロのサービスのように運営し、各アクセスを(権限レベルやドメイン管理者/一般ユーザーなどで)検証・分類し、購入者にスクリーンショットや証拠を提供し、アクセスが閉鎖された場合はカスタマーサポートや代替提供まで行います。
従来のように自分で被害者ごとに侵入する方法と比べ、IABを利用すれば攻撃者はハッキング機会をサブスクするだけで済みます。初期アクセスのコモディティ化により、侵入者志望者は「侵入」ではなく「ログイン」できるようになり、ネットワーク侵害が他のサイバー犯罪者向けのスケーラブルでオンデマンドなサービスへと変貌しました。
5. 高度なツールが低価格サブスクで利用可能に
サイバー犯罪のサブスクリプション化を最も明確に示すのは、高度なハッキングツールが格安でレンタルできるようになったことです。かつては多額の投資や高度なコーディングスキルが必要だった高性能マルウェアも、今や安価な月額プランで利用できます。
新しいAtroposiaリモートアクセス型トロイの木馬(RAT)を例に挙げましょう。
この多機能RATは、隠れたデスクトップ制御、認証情報窃取、ファイルレス攻撃などを提供し、まさにSaaS形式で販売されています。Atroposiaの開発者は、マルウェア本体とウェブ管理パネルへのアクセスに月額約200米ドルを請求しています。長期契約には割引があり(3ヶ月で500米ドル、6ヶ月で900米ドル)、正規ソフトウェアのサブスクリプションを模倣しています。この価格で、低スキルの攻撃者でも、従来なら開発や一括購入に多額のコストがかかったツールをすぐに使えます。
マルウェア作者は、ビルダーやエクスプロイトキット(悪意あるOffice文書やカスタムローダー用など)もサブスクリプションモデルで提供し、常に最新バージョンを顧客に保証しています。
その結果、複雑な攻撃への参入障壁は劇的に下がりました。
特注マルウェアに多額を投資したり、新しいRATを数ヶ月かけて開発・テストする代わりに、攻撃者はMatrixPDF(PDFベースのエクスプロイト用)やAtroposia RATのような最先端ツールを低予算でレンタルできます。以前は資金力や高度なスキルを持つ犯罪者だけが使えた高度な手法も、今や「サイバー犯罪が簡単にできる」こと自体が売り文句となっています。
新しいサイバー犯罪サブスクリプション経済
残念ながら、サイバー犯罪は完全に発展したサービス経済へと成熟しました。
このサブスクリプションモデルは、従来は断片的だったフィッシングキット、インフォスティーラーログ、アクセス販売などを、誰でも利用できるオンデマンドなツールのパイプラインへと変えました。攻撃者はもはや自分でコードを書いたり、インフラをホストしたり、使うマルウェアを理解する必要すらありません。月額料金を支払うだけで、シャドーSaaSエコシステムの顧客のように運用できるのです。
これに対抗するには、サイバーセキュリティの専門家や防御側も同じ発想、すなわち「システムファースト」で考える必要があります。
つまり、検知プレイブックの自動化、認証情報の定期的なローテーション、最小権限の徹底を「時々」ではなく「常に」実施することです。防御をスケーラブルかつ反復可能、適応的にすればするほど、攻撃者の成功は難しくなります。
