TokyoBlackHatNews

esecurityplanet.com 5分で読了

内部関係者がサイバー犯罪者の最優先標的に

サイバー犯罪者は内部関係者を勧誘することで技術的防御をますます回避し、信頼された従業員を銀行、通信、テクノロジー企業における高インパクトな攻撃ベクトルへと変えています。

多くの場合、攻撃者はアクセス、機微データ、または直接的な運用支援と引き換えに、比較的控えめな報酬を提示します。

ある広告は「サイバー犯罪者と協力することで終わりのない仕事のサイクルから抜け出そう」と従業員に促していたと、Check Pointの研究者は述べています

内部関係者の勧誘がもたらすビジネスリスク

内部関係者の勧誘は、正当なアクセスを通じて攻撃者が従来のセキュリティ制御を回避できるようにすることで、リスクの前提を根本的に変えます。 

これにより、機微データや重要インフラを扱う組織(金融サービス、通信事業者、クラウドプロバイダー、大規模テクノロジープラットフォームなど)のリスクが高まります。

ダークネットの監視により、暗号資産取引所、銀行、コンサルティング企業、消費者向けプラットフォームの従業員を標的とする広告が着実に増加していることが明らかになっています。 

多くの募集は一度きりのアクセスに対して3,000〜15,000米ドルを約束し、別のものは継続的な支払いを伴う長期的な提携を提案しています。  

企業の内部関係者を勧誘するために用いられる手口

内部関係者の勧誘の多くは、ダークネットのフォーラムに投稿される単純で取引的な書き込みから始まります。 

ある広告は認証情報、VPNアクセス、顧客データセットを求める一方、別の広告は防御の無効化、アカウントのリセット、内部データの抽出など、より能動的な関与を求めます。 

多くの場合、内部関係者の役割により、攻撃者は多要素認証、ログ制御、異常検知システムを完全に回避できます。

さらに懸念されるのは、操作的なメッセージングを用いる勧誘です。 

一部の投稿は従業員の燃え尽きや金銭的ストレスに訴え、内部協力を「終わりのない仕事のサイクル」からの脱出として位置づけます。 

別の投稿は、深い組織知を持つ勤続年数の長いスタッフを明確に狙い、そのアクセスが犯罪活動にとってどれほど価値があるかを強調します。

アクセスを得ると、攻撃者はそれを複数の方法で収益化できます。ランサムウェア攻撃の実行、アカウント乗っ取りの実現、SIMスワップ詐欺の支援、後続攻撃のための盗難データセットの販売などです。 

これらの行為は正当な活動に紛れ込みやすいため、検知と帰属は大幅に難しくなります。

内部脅威にとって高価値なセクター

金融機関と暗号資産企業は、最も頻繁に標的となるセクターの一つです。 

ダークネットの募集では、Coinbase、Binance、Kraken、Geminiといった主要暗号資産取引所の内部関係者に加え、AccentureやGenpactなどのグローバルなコンサルティング企業の内部関係者も求められてきました。 

一部の広告は、数千万件のユーザーレコードといったデータセット全体を最大25,000ドルという価格で提示し、大規模な詐欺やフィッシングキャンペーンを可能にしています。

銀行は依然として特に魅力的な標的です。 

ある勧誘投稿は中央銀行や主要金融機関に紐づくシステムへのアクセスを求め、別の投稿は取引履歴や、継続的な支払いを伴う長期的な内部協力関係を求めています。

テクノロジー企業も圧力にさらされています。最近の勧誘では、Apple、Samsung、Xiaomi、そしてクラウドサービスプロバイダーの従業員が標的となり、アクセスに対して最大10,000ドルの提示がありました。 

あるケースでは、欧州の大手エンタープライズソフトウェア企業の従業員データ(パスワードや職務などを含む)が販売用に掲載されたと報告されています。

通信事業者は、内部関係者が攻撃者によるSMSメッセージの傍受と二要素認証の回避を助けるSIMスワップ手口から、継続的なリスクに直面しています。 

この種のアクセスに対する支払いは、米国では10,000〜15,000ドルに達しています。

内部脅威リスクを低減する方法

内部関係者の勧誘がより一般的な手口になるにつれ、組織には人の行動と技術的アクセスの両方に対処する統制が必要です。

従業員の意識向上、アクセスガバナンス、能動的な監視を組み合わせたバランスの取れたアプローチにより、リスクを低減できます。

  • 教育する:内部脅威のリスク、倫理的責任、勧誘や強要の試みに安全に報告する方法について従業員に周知する。
  • 厳格な最小権限、ロールベース、期限付きのアクセス制御を徹底し、特権アカウントに対する監視を強化する。
  • SMSベースのMFAへの依存を減らし、機微な操作には追加の検証を必須化することで認証を強化する。
  • 行動およびアクセスの異常を監視する。これには、異常なデータアクセス、権限昇格、営業時間外の活動が含まれる。
  • 組織への言及、従業員勧誘の試み、盗難データについて、ダークネットやアンダーグラウンドフォーラムを積極的に監視する。
  • 内部関係者の勧誘シナリオをインシデント対応計画に組み込み、迅速なアクセス剥奪とフォレンジック対応準備を含める。

これらの手順を総合すると、意識向上、アクセス制御、継続的監視を組み合わせることで、組織は内部リスクを管理しやすくなります。 

拡大する内部脅威の役割

内部関係者の勧誘は、技術的脆弱性のみに依存するのではなく、人と信頼関係を悪用する方向へと脅威環境がより広くシフトしていることを浮き彫りにしています。 

ランサムウェア集団がより組織化され、サイバー犯罪のオペレーションがよりコモディティ化するにつれ、アクセスや支援のために内部関係者へ支払うことは、ゼロデイ攻撃の開発や入手よりも、しばしば速く、低コストで、確実性が高くなります。

内部関係者の勧誘が例外ではなく常套手段になりつつある中、ITリーダーには、組織全体で内部リスクを特定し、管理し、低減するための明確な指針が必要です。 

翻訳元: https://www.esecurityplanet.com/threats/insiders-become-prime-targets-for-cybercriminals/

ソース: esecurityplanet.com
#SIMスワップ詐欺 #アクセス管理 #インサイダー脅威 #サイバー犯罪 #ダークネット #ランサムウェア #内部不正 #多要素認証(MFA) #最小権限 #特権アクセス管理(PAM)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布