企業ネットワークへのアクセスがダークウェブで販売されています。売り手は「イニシャルアクセスブローカー(IAB)」と呼ばれ、地下マーケットでイニシャルアクセスベクター(IAV)を販売しています。
IABはしばしば最も熟練したハッカーたちです。買い手は、その初期アクセスに苦労するような未熟なハッカーである場合もあれば、時間を節約してすぐに本題に入りたい熟練したハッカーである場合もあります。これが重要なポイントです。サイバー犯罪はビジネスなのです。
Rapid7の研究者たちは、2024年7月1日から2024年12月31日までの間に、3つの主要なフォーラム(XSS、BreachForums、Exploit)におけるアクセスブローカーのビジネスを分析しました。なお、XSSは現在オフラインとなっています。これは、法執行機関と犯罪ビジネスの間で続く戦いの結果です。
別件として、IntelBrokerとして知られるハッカーが逮捕され、身柄の引き渡しが求められています。彼はアクセスブローカーとして主にBreachForumsでIAVを販売しており、2024年8月から2025年1月まで短期間このフォーラムを所有していました。彼は2025年2月にフランスで逮捕され、米国司法省による起訴状が2025年6月25日に公開されました。
Rapid7がフォーラムの活動を分析した主な目的は、「サイバー犯罪地下組織内での戦術や優先事項の変化をより深く理解すること」でした。同時に、フォーラムの歴史は法執行機関による撹乱の効果を示しています。
この分析には、提供されているアクセスパッケージの選択肢の数、販売されている最も人気のあるアクセスベクター、そして価格帯とその幅という3つの主なポイントがあります。
IAVの販売のほぼ4分の3は、異なる初期アクセスベクター(IAV)の選択肢を提供しており、10%は異なるIAVを組み合わせたバンドルを提供していました。最も多く提供されていたIAVはVPN(23.5%)とドメインユーザー(19.9%)(どちらもMFAが不十分または欠如していることが多い)、そしてRDP(16.7%)でした。
どの企業が広告に関連しているかを特定するのは、ほぼ完全に不可能です。もし可能であれば良いのですが。「誤解しないでください」と研究者たちは言います。「このような状況にある企業は、ブローカーと買い手の両方によって本質的に二重に侵害されており、そのいずれの不正アクセスもセキュリティソリューションでは検知できていません。しかも、ブローカーが退出する際に一体何を盗み出したのか―仮に本当に退出したとして―を考慮する前の段階で、です。」
広告。スクロールして続きをお読みください。
小国の被害者を特定するのはやや容易です。「それは主に、その企業がどれほどユニークかによります」とRapid7の脅威インテリジェンス担当で本レポートの研究者の一人であるAntony Parks氏は説明します。「例えば、マダガスカルに拠点を置き、50億ドルの収益がある素材系企業であれば、そのような企業はかなりユニークでしょう。」
それでも難しいのは、ブローカーの説明が正確である保証がないからです。身代金の金額が、犯罪者が被害者が支払える・支払う意思があると信じる最大額に設定されるのと同様に、IAVも被害者の収益に基づいて仲介されます。ブローカーが自分の主張を誇張するのは理にかなっています。しかし、影響範囲は価格設定の要因にはなっていないようです。魅力的なサプライチェーンを持つ被害者、たとえばMSP(マネージドサービスプロバイダー)へのアクセスであっても、高値がつくとは限りません。
「なぜこれらに対して価格が上がらないのか、私なりに推測するなら」とParks氏はコメントします。「おそらく、ブローカーも買い手も最終的な標的への侵入を狙っているからでしょう。サードパーティへのアクセスは潜在的に利益があるものの、最終標的へのアクセスを得るには追加の作業が必要です。」
ブローカーフォーラムに登場する被害者を簡単に特定して警告する方法がないため、IABエコシステム全体を撹乱する責任はより一層法執行機関にかかっています。注目すべきは、Rapid7の調査期間直後にXSSが閉鎖されたことです。そして執筆時点でも復活していません。BreachForumsは度重なる撹乱と復活の歴史があり、最新の復活は2025年5月に起きました。
「すでに一部のアクターがXSSの要素を復活させようとしていますが、報道によれば新たなXSSの出現には疑念が持たれています。BreachForumsの新たな形態にも同様の疑念があります」とParks氏は語ります。「法執行機関がこれらダークウェブフォーラムを閉鎖・掌握することで、これらのフォーラムが違法ビジネスを安全に行える場であるという信頼に疑念が生じています。したがって、たとえダークウェブの有名フォーラムが再びオンラインになったとしても、今後はこれら異なるダークウェブフォーラムの安定性や安全性に対する信頼は低下していくと考えられます。」