サイバー犯罪者の間では、企業内部の協力者(インサイダー)を勧誘する動きへの関心が急速に高まっています。複雑な外部侵入を仕掛けるのではなく、攻撃者はますます内部の情報源――金さえ払えば、企業システムへのアクセスを許したり機密情報を漏えいしたりする従業員――に賭けるようになっています。この傾向はすでに、銀行、暗号資産取引所、通信事業者、テクノロジー企業にまで及んでいます。
Check Pointによると、アンダーグラウンドのフォーラムには協力者を求める広告が定期的に掲載されています。中には中立的で取引的な口調のものもあれば、感情に訴えかけ、日常業務からの解放や異常に高い報酬を約束するものもあります。報酬は、単発の便宜で数千ドルから、長期協力で6桁(10万ドル超)の金額まで幅があります。依頼内容は通常、社内システムへのアクセス、パスワードのリセット、データベースの持ち出し(流出)、あるいは攻撃の開始に役立つその他の情報の提供などです。
金融セクターは依然として主要な標的です。ダークウェブの掲載情報は、Coinbase、Binance、Kraken、Geminiといった取引所の従業員に加え、大手銀行や税務当局の職員にますます焦点を当てています。犯罪者は取引履歴や管理者権限のために数万ドルを支払う用意があります。事前にまとめられたデータセットも公然と取引されており、3,700万人分のユーザー記録を含むデータベースが2万5,000ドルで値付けされていたと報告されています。
テクノロジー企業も同様に圧力を受けています。クラウドストレージ基盤のデータや顧客記録は特に価値が高いとされています。フォーラム上の動きは、Apple、Samsung、Xiaomiの内部協力者を積極的に勧誘していることを示しており、通信事業者、物流企業、ITコンサルティング企業の従業員も対象になっています。別の、しかし根強い手口として、携帯キャリアのスタッフの協力に依存するSIMスワップ攻撃もあります。
場合によっては、単発の作業を超えて、固定給で継続的にリモート「雇用」する提案にまで及びます。こうした取り決めは数週間続くことがあり、データの受け渡し、痕跡の消去、セキュリティ制御の無効化といった業務が繰り返し求められます。アクセスブローカー――多くはTelegramなどのクローズドなチャネルで活動――が、こうした取引を仲介することも少なくありません。同じ場所は、ランサムウェア集団のために専門知識を転用する意思のあるペネトレーションテスターを勧誘する場としても使われています。
支払いの匿名性が、問題をさらに深刻化させます。暗号資産により参加者は規制当局からほぼ見えない状態を保てる一方、取引の追跡は困難です。企業にとっての影響は直接的な金銭損失にとどまらず、評判の毀損、業務の混乱、コンプライアンスリスクの増大にも及びます。
この脅威に対抗するには、組織は技術的な防御策と、従業員への継続的な働きかけを組み合わせる必要があります。具体的には、インサイダーリスクに関する意識向上、従業員活動の継続的な監視、重要システムへのアクセスの厳格な制限、そして企業名が言及されていないかアンダーグラウンドのフォーラムを追跡することです。インサイダー主導の攻撃がもたらす危険を実質的に減らすには、絶え間ない警戒と細部への注意だけが有効です。
翻訳元: https://meterpreter.org/the-enemy-within-why-hackers-are-paying-your-employees-100k-to-betray-you/
