Check Point Research(CPR)による最新の調査は、サイバー犯罪者が企業への侵入方法を変えつつあることを示しています。単にパスワードを推測したりコンピュータの不具合を探したりするのではなく、いまや従業員に金銭を支払い、内部から手助けさせています。
報告書によると、これらのグループは銀行、通信、テック企業で「内部関係者」を特に勧誘し、プライベートネットワークや顧客情報への直接アクセスを得ようとしています。
機密データに対する高額報酬
CPRの研究者は、こうした従業員への報酬が非常に高額になり得ると指摘しています。単発のアクセスや特定ファイルの提供に対する支払いは、一般的に3,000~15,000ドルの範囲です。しかし、さらに高値が付くデータもあり、暗号資産取引所からの3,700万件の記録のコレクションが、ダークウェブ上で25,000ドルで出回っているのが確認されました。
さらに掘り下げると、研究者は犯罪者が感情に訴える手口でスタッフを誘い込んでいることを突き止めました。7月には、ある広告が、ハッカーと協力すれば5桁または6桁の報酬が得られるとして、「終わりのない仕事のサイクルから抜け出そう」と労働者に呼びかけていました。短く事実のみを述べる広告もある一方で、この裏切り行為を経済的自由への道として描くものもあります。
標的となる主要ブランドと業界
勧誘広告ではCoinbase、Binance、Kraken、そしてGeminiといった大企業が名指しされており、どの業界も安全ではない点に注意が必要です。AccentureやGenpactのような大手コンサルティング企業、SpotifyやNetflixのような消費者向けブランドも言及されています。
脅威は物理的な製品やインフラにも及びます。たとえばApple、Samsung、Xiaomiでは内部関係者が求められており、クラウドサービスの従業員にはアクセスの見返りとして最大10,000ドルが提示されています。
米国では、Cox Communicationsのスタッフが、セキュリティコードを回避するために使われる手口であるSIMスワップへの協力を求められています。取引履歴を狙う者たちにより、米連邦準備制度(FRB)や欧州の主要銀行でさえ標的にされています。
ランサムウェア集団の役割
こうした活動は隠れたウェブサイトだけで起きているわけではありません。ランサムウェア集団が、いまやTelegramを使って協力者を探しているためです。約400人のメンバーを抱えるあるグループは最近、「ランサムウェア・ポータル」を宣伝し、内部関係者や「アクセスブローカー」に対して、利益の分け前と引き換えに企業システムをロックダウンする手助けを呼びかけました。
CrowdStrikeの内部不正インシデント:内部脅威を雇い入れる典型例
CrowdStrikeで最近発生した社内セキュリティインシデントは、CPRの調査結果と、内部脅威がいかに現実のものになっているかを裏付けています。2025年11月、このサイバーセキュリティ企業は、Scattered Lapsus Huntersネットワークに関連する外部の人物に対して社内情報が無断で漏えいしていることを検知し、従業員を解雇したと確認しました。
これらの攻撃を止めるのが難しいのは、研究者がブログ投稿で説明しているように、「内部スタッフが防御を無効化すると」、標準的なセキュリティがしばしば完全に回避されてしまうためです。安全を保つために、専門家は、企業が自社ブランドへの言及をダークウェブ上で監視し、最も機密性の高いデータへのアクセス権を誰が持っているのかを、はるかに厳密に監視する必要があると述べています。
翻訳元: https://hackread.com/insider-threat-hackers-paying-insiders-bypass-security/
